我有一個網站託管帳戶,該帳戶似乎是一家信譽良好且具有安全意識的託管公司(Siteground)。我使用 2 因素驗證登入我的帳戶,使用 HTTPS 登入我的網站,使用 SSH 將檔案移入和移出伺服器。但是,該帳戶還具有未加密的 FTP 存取權限,無法停用。我認為他們知道自己在做什麼,但這似乎留下了不必要的安全風險:
- 如果我透過 FTP 登錄,我的密碼可能會被洩露,因為有人可以看到它的純文字形式。我可以不使用 FTP,但根本不允許連線似乎會更安全。
- 有人可以透過猜測密碼來暴力進入我的帳戶,而用於其他帳戶存取的 2FA 或 SSH 金鑰將毫無意義。
就像我說的,公司似乎知道它以其他方式在做什麼,所以我錯過了什麼嗎?
答案1
我同意你的看法。然而,許多主機仍然允許使用 FTP,因為它是許多人用來傳輸檔案的唯一工具。這是您的託管公司的商業決策權衡。正如 Daniel 所提到的,最重要的是速率限制、主機允許的嘗試次數以及嘗試之間的等待時間。如果有合理的限制,您的 FTP 仍然相當安全。
我建議你向你的主人詢問這些問題。祝你好運!