Uso HTTPS Ovunque nel mio browser per scegliere versioni SSL dei siti Web quando disponibili, ma molti siti non offrono una versione sicura. SSL è l'unica opzione valida per bloccare la password / cancellare lo sniffing del testo?
Se non vuoi inviare i tuoi dati in formato testo, devi avere per utilizzare la crittografia, ma non deve sempre essere SSL. Ad esempio, un sito potrebbe scegliere di eseguire la propria crittografia a livello di applicazione invece di utilizzare solo SSL (anche se non riesco a immaginare perché qualcuno lo farebbe mai > _ <).
Tuttavia, se un sito non offre questa crittografia, non c'è nulla che tu possa fare per evitare di inviare i tuoi dati in testo semplice. Dopo tutto, il sito si aspetta solo in testo normale. Non puoi cambiarlo senza cambiare ciò che il sito si aspetta.
Devi usare la crittografia, anche se non importa di quale tipo.
C'è un'altra cosa (abbastanza inutile probabilmente) che potresti fare a me, dal momento che stai chiedendo se ci sono altre opzioni per difendersi dallo sniffare la password: le app web potrebbero essere modificate per funzionare con gli hash delle password rispetto alle password in chiaro, come ha detto @ Oleksi. In questo modo, almeno, se annusassi una password, avresti un po 'di lavoro da fare prima di poter accedere alla password in testo semplice.
Ma ovviamente, usare la crittografia è meglio.
È teoricamente possibile ottenere connessioni autenticate da password senza crittografia. Un protocollo ipotetico dovrebbe iniziare con uno scambio di chiavi autenticato da password (come SRP ), risultante in un segreto condiviso, noto sia al client che al server, ma nessun altro; e client e server verrebbero reciprocamente autenticati per quanto riguarda la conoscenza della password. Il segreto condiviso verrà quindi utilizzato come chiave in un algoritmo MAC , per mantenere l'integrità dei pacchetti di dati scambiati successivamente. E ci sei tu: autenticazione con password, senza crittografia, e sei ancora protetto dagli attacchi dizionario online : chiunque non ascolta apprende nulla sulla password, nemmeno un valore hash-o-equivalente che permetterebbe loro di testare successivamente le password potenziali; e questa proprietà viene mantenuta anche di fronte agli aggressori attivi , anche agli aggressori che impersonano il server o il client. Questa è la magia dei protocolli PAKE.
Ovviamente, nessuna crittografia significa che i dati scambiati successivamente possono essere controllati da spie indiscrete; integrità viene mantenuta, non riservatezza . Questo è spesso un problema a sé stante.
(Non tutti i problemi sono risolti con un tale protocollo, tuttavia. La registrazione sarebbe difficile da fare senza far trapelare agli estranei almeno una versione hash della password.)
In pratica , un protocollo crittografico è "praticabile" solo nella misura in cui è implementato correttamente da tutte le parti coinvolte. La possibilità teorica di un protocollo crittografico che esegue l'autenticazione della password senza crittografia non cambia il fatto che, al momento, i browser Web non lo implementano. I browser Web implementano SSL (HTTPS). Quindi, usa SSL. È l'unico modo ragionevolmente sicuro di gestire l'autenticazione della password quando il client è un browser Web esistente ed è ampiamente distribuito a partire dall'inizio del 2013.
Leggi altre domande sui tag encryption passwords tls