我在一家信誉良好且注重安全的托管公司 (Siteground) 拥有一个网站托管帐户。我使用双因素身份验证登录他们的帐户,使用 HTTPS 访问我的网站,使用 SSH 将文件移入和移出服务器。但是,该帐户似乎还具有未加密的 FTP 访问权限,无法禁用。我认为他们知道自己在做什么,但这似乎留下了不必要的安全风险:
- 如果我通过 FTP 登录,我的密码可能会被泄露,因为有人可能会看到纯文本。我可以不使用 FTP,但似乎完全不允许连接会更安全。
- 有人可以通过猜测密码强行进入我的帐户,并且用于其他帐户访问的 2FA 或 SSH 密钥将变得毫无意义。
就像我说的,该公司似乎知道它在其他方面正在做什么,所以我是否忽略了什么?
答案1
我同意你的观点。但是 FTP 仍然被允许在许多主机上使用,因为它是许多人用来传输文件的唯一工具。对于您的托管公司来说,这是一个商业决策权衡。正如 Daniel 提到的,最重要的是速率限制、主机允许的尝试次数以及尝试之间的等待时间。如果对这些有合理的限制,您的 FTP 仍然是相当安全的。
我建议你向你的主人询问这些问题。祝你好运!