有一天我被我主管問到這件事,若企業網站使用 AD 驗證方式登入帳密,使用 POST 的方式將未加密的帳密傳至伺服器中,整個過程都是使用內網,有沒有可能會被壞人竊取帳號密碼? (假設沒有惡意主動攻擊的狀況下)
上網查了之後發現,應該是不太可能的,原因如下:
企業網站登入流程如下:
會先啟用 SSL
到入登入頁面
使用者輸入帳密
密碼傳至 API 做驗證
在這過程中帳密皆會以 SSL 加密的方式送出,如果壞人在這中間擷取封包,所拿到的東西也都是加密過後的東西,當然 HTTPS 或是 SSL 並不保證是安全的,所以如果再進一步破解,也是有可能竊取帳密,但並不會這麼容易的讓壞人將密碼看透透。
資安的世界其實很複雜,攻擊的一方一定會站的比較上風,大部分的東西放在網路上其實都不安全,最安全是手寫放在保險箱(哈哈),但目前企業都在推動數位轉型,很多資料都會放在網路上做彙整,我們只能做最壞的打算,進行最大的防護。
如有不同的想法,歡迎留言討論。
參考資料: HTTPS 的連線夠安全嗎?