4.7.1. 确保互联网上的的密码安全

许多流行的传输层服务都使用纯文本来传输包括密码验证信息在内的各类消息。使用纯文本在公网上传输密码是很糟糕的做法,因为这样传输的密码很容易在网上被他人截获。为了确保整个沟通过程,包括密码信息在内都使用加密传输来确保安全,您可以在“传输层安全(Transport Layer Security,TLS)”协议或者其前身,“安全套接字层(Secure Sockets Layer,SSL)”协议之上运行这些服务。

表 4.7. 安全和不安全的服务端口列表

不安全的服务名端口安全的服务名端口
www (http)80https443
smtp (邮件)25ssmtp (smtps)465
ftp-data20ftps-data989
ftp21ftps990
telnet23telnets992
imap2143imaps993
pop3110pop3s995
ldap389ldaps636

加密消耗 CPU 时间。作为对 CPU 有益的替代方案,你可以保持使用纯文本通讯,仅仅使用安全认证协议加密密码,比如说:POP 使用”Authenticated Post Office Protocol” (APOP),SMTP 和 IMAP 使用 “Challenge-Response Authentication Mechanism MD5” (CRAM-MD5)。(你的邮件客户端通过互联网上你的邮件服务器发送邮件时,最近流行使用新的递交端口 587 来代替传统的 SMTP 端口 25,这样可以避免在使用 CRAM-MD5 认证自己时,网络提供商阻塞 25 端口。)