Dovremmo configurare i nostri server affinché richiedano l'autenticazione su un canale crittografato e bloccare tutti i metodi di autenticazione in chiaro non crittografata?
Recentemente ho configurato i miei server per disabilitare tutte le forme di autenticazione in testo normale e richiedono agli utenti di autenticarsi su un canale crittografato con SSL. Ad esempio:
- Ho disabilitato l'autenticazione con testo in chiaro POP3: ora gli utenti possono autenticarsi solo su SSL (IMAPS)
- Ho disabilitato l'autenticazione del testo in chiaro SMTP: ora gli utenti devono autenticarsi tramite SMTPS (ESMPTSA)
- Ho disabilitato Exchange RPC - ora gli utenti devono autenticarsi tramite SSL (HTTPS)
- Ho disabilitato l'autenticazione del testo in chiaro HTTP - ora gli utenti devono autenticarsi tramite SSL (HTTPS), incluso per il back-end, la webmail e altre app web del mio sito web. Gli utenti che tentano di connettersi tramite HTTP ricevono un reindirizzamento 301 su HTTPS.
- Ho disabilitato l'autenticazione del testo in chiaro FTP: ora gli utenti devono autenticarsi tramite SSL (solo FTPS)
- Ho disabilitato l'accesso API da siti Web esterni (gateway di pagamento, ecc.)
L'ho implementato tramite modifiche al server (ad esempio, il modulo mod_security), bloccando l'accesso a determinate porte (ad esempio, bloccando la porta imap e lasciando aperta la porta imaps) o costruendo il mio proxy inverso per far rispettare questi requisiti .
Questa è una buona idea? Tutti dovrebbero disabilitare tutte le forme di autenticazione in chiaro (dove le credenziali vengono inviate non criptate)? Ho notato che alcune società di hosting consentono ancora l'autenticazione in testo normale; perché lo fanno? Dovrebbero disabilitare anche l'autenticazione del testo libero?