我正在使用 AuthType Basic 通过 SSL 安全连接对 apache2 服务器的客户端进行身份验证。我认为这些是安全的,因为用户名和密码在发送到服务器之前已加密。
是对的吗?
答案1
是的,这非常安全(尽管最近在重新协商期间发现了 TLS 漏洞)。绝大多数网站都使用这种方法。
为了提高安全性,请考虑使用客户端证书、双因素身份验证等。
答案2
没错。事实上,SSL 是保护此类数据最简单的方法。随着密码和哈希方法屈服于更强大的攻击和更快的硬件,SSL 的安全性会随着时间的推移而发生变化,但它仍然非常安全。
答案3
SSL 是专门为保护这种连接而设计的。如果您使用弱密码并且不监控 Apache 日志,您仍然容易受到暴力攻击。