如果您使用没有 SSL / TLS 的 Windows 身份验证连接到 IIS ftp - 该密码是否以明文形式发送?

如果您使用没有 SSL / TLS 的 Windows 身份验证连接到 IIS ftp - 该密码是否以明文形式发送?

只是认为这可能是一个问题,因为我们不想暴露可以完全访问远程桌面等的用户密码。

Windows 是否完全保护密码?

谢谢

答案1

是的,我认为它无法保护 FTP 会话中的密码。FTP 协议为用户名和密码信息定义了明文,因此任何 FTP 服务器和任何 FTP 客户端都希望以明文形式发送密码以遵守标准。如果 Microsoft 改变这一点,那么它就不再是 FTP 服务器了。

这是 FTP 协议的一个弱点(实际上公平地说,它不是一个弱点更让人想起的是,一些互联网协议是在安全问题较为温和的年代设计的,当时安全问题不像现在这么紧迫,微软或任何其他供应商都别无选择。

记录得相当清楚这里如果你想读的话,我在下面附上了最相关的摘录:

注意:由于文件传输协议 (FTP) 的设计,用户名和密码以纯文本形式通过 FTP 传输,因此容易受到网络发现。因此建议您使用 SSL 的基本身份验证。

我的建议和他们一样,通过 SSL 进行 FTP。另外,考虑不要使用域帐户进行 FTP 访问;我们在 FTP 服务器上为需要 FTP 帐户的员工和学生设置了本地帐户。

相关内容