Ich habe ein Webhosting-Konto bei einem anscheinend seriösen und sicherheitsbewussten Hosting-Unternehmen (Siteground). Ich verwende eine Zwei-Faktor-Authentifizierung, um mich bei meinem Konto anzumelden, HTTPS für meine Site und SSH, um Dateien zum und vom Server zu verschieben. Das Konto verfügt jedoch auch über einen scheinbar unverschlüsselten FTP-Zugriff, der nicht deaktiviert werden kann. Ich gehe davon aus, dass sie wissen, was sie tun, aber es scheint, als ob dies ein unnötiges Sicherheitsrisiko darstellt:
- Wenn ich mich über FTP anmelde, könnte mein Passwort gefährdet sein, da es jemand im Klartext sehen könnte. Ich kann FTP einfach nicht verwenden, aber es scheint sicherer, die Verbindung überhaupt nicht zuzulassen.
- Jemand könnte sich mithilfe eines Brute-Force-Angriffs Zugang zu meinem Konto verschaffen, indem er das Kennwort errät. Dann wären die für den sonstigen Zugriff auf das Konto verwendeten 2FA- oder SSH-Schlüssel wirkungslos.
Wie gesagt, das Unternehmen scheint auch auf andere Weise zu wissen, was es tut. Übersehe ich also etwas?
Antwort1
Ich stimme Ihnen zu. Allerdings ist FTP auf vielen Hosts noch immer erlaubt, weil es für viele Leute das einzige Tool ist, das sie zum Übertragen von Dateien verwenden. Für Ihr Hosting-Unternehmen ist es eine geschäftliche Entscheidung, die Sie in Kauf nehmen müssen. Wie Daniel erwähnte, ist das Wichtigste die Ratenbegrenzung, die Anzahl der Versuche, die Ihr Host zulässt, und die Wartezeit zwischen den Versuchen. Wenn es dafür eine vernünftige Begrenzung gibt, ist Ihr FTP immer noch einigermaßen sicher.
Ich schlage vor, dass Sie Ihrem Gastgeber diese Fragen stellen. Viel Glück!