登录安全协议
受保护的用户名: 确保您没有使用可预测的用户名,例如“admin”、“administrator”或甚至是企业/组织的名称 - 即使是公开列出的为公司工作的董事或员工的姓名也不是个好主意。这些使潜在的黑客更容易获得修改您网站的权限,因此应避免使用它们。最好让所有登录名都独一无二,难以猜测。
限制访问级别: 严格限制对网站不同管理区域的访问,仅允许需要该权限的用户访问,这意味着您可以更好地控制谁可以对您的网站进行哪些更改。如果新闻编辑凭据被黑客获取,那么至少这只会影响您的新闻区域,而不太可能需要对整个网站进行消毒。有权访问网站管理区域的人越少,这些登录详细信息泄露并落入坏人之手的可能性就越小。他们的权限级别越低,这些凭据造成的损害就越小。设置编辑权限,以便员工只能执行他们需要的工作(而不让人们共享登录信息)是一种良好的安全做法。例如,文案人
员不需要能够更新网站代码或编辑模板。权限的细粒度限制将明确定义哪些员工有能力在网站上做什么,并有助于减少凭据盗窃的影响,甚至如果您在他们离开后忘记禁用他们的登录信息,也可以减少前员工的潜在恶意活动。
双重身份验证: 启用双重身份验证(有时简称为 2FA)可提供第二层安全保护。任何注册用户的登录详细信息、用户名和密码输入正确后,系统将向与特定登录详细信息关联的电子邮件帐户或手机号码发送一次性代码,该代码 泰国电报数据 由该用户设置为登录其帐户时的额外安全级别。这意味着,即使黑客设法拦截或猜出您的用户名和密码,他们仍然无法访问登录所需的一次性代码,从而阻止他们访问您帐户的尝试。如果您通过短信向手机发送了 2FA,并且您收到了您未发起的登录的 2FA 代码,则启用双重身份验证还可以提示您,到有人试图重置您的密码,则表明帐户用户名/电子邮件已知。
密码: 确保与用户登录相关的任何密码(尤其是具
有管理权限的密码)都难以猜测,并且足够复杂(“强”)以抵御暴力破解。这意味着不要使用“顶级密码”列表中的任何常用密码,您个人不要在不同网站上使用相同的电子邮件和密码,并且在选择密码时不要使用字典单词或标准短语。最好使用大小写字母、数字和符号的组合 以 获得最高级别的保护 - 您会发现许多网站现在都坚持要求您选择的密码符合这一点,以使其更加复杂。机器人部署的用于尝试破解密码的程序往往会首先尝试更常见的密码,并且有公开可用的列表,列出了已被入侵的网站中最常用的密码,因此应始终避免使用这些密码。有针对性的攻击将尝试您之前在被黑客入侵并以纯文本形式保存密码的网站上使用过的电子邮件和密码组合。存储强密码是一项单独的挑战 - 您可以将密码记录保存在只有您才能找到的地方(有些人将密码保存在浏览器中),或者您可能更喜欢使用密码管理系统为您存储密码。网站还必须具备防止暴力攻击的保护措施 - 黑客会尝试一系列常用密码(或过去被泄露的其他网站泄露的密码)。
