如何給網站加訪問密碼保護

隨著人們網路安全意識的不斷增強，資料安全變成一件非常重要的事。無論是Facebook使用者資料洩露，還是歐盟《GDPR》的施行，都讓資料安全成為企業關注的“頭等大事”。

在資料洩露方式中，很大一部分來自網站。攻擊者利用網站漏洞，進行入侵，竊取網站註冊使用者個人資料。比如，2018年4月，美國最大面包連鎖店Panerabread表示，旗下網站panerabread.com洩露了3700萬使用者資訊。6月13日，AcFun彈幕視訊網發出公告稱，它們有800-1000萬左右的使用者資料被黑客竊取。

可以說，做好網站安全，是防止使用者資料洩露的重要方式。

網站安全的最低標準是對網站資訊加密——對使用者資料加密，以保證使用者不被洩露。目前，HTTPS成為網站資訊加密的最佳實現。

以前，我們開啟一個網站，均是以HTTP協議開頭。但是後來，HTTP協議存在很大的安全性，容易洩露網站資料，於是許多網站使用HTTPS協議。

以火狐瀏覽器為測試工具，你可以對一個http://開頭的網址進行訪問，結果火狐瀏覽器會提示你：警告：面臨潛在的安全風險。

頁面提示如下：

當Firefox連線到一個安全的網站時(網址最開始為“https://”)，它必須確認該網站出具的證書有效且使用足夠高的加密強度，以充分保護你的隱私。如果無法驗證，Firefox會中止連線到這個網站，並向您顯示錯誤資訊頁面：警告：有風險。

HTTPS是在HTTP協議上增加了“S”，“S”意思是加密。據悉，普通的HTTP協議採用的是資料明文傳輸，因此當使用者在傳輸個人私密資訊時，會存在資訊被截獲的風險。

HTTPS協議在資料傳輸之前，適用SSL證書對資料包進行加密，加密後的密文再進行網路傳輸，這樣資料即使在傳輸的過程中被第三方所截獲，截獲者也無法破譯密文，使用者資料仍然安全。

如果你的網站還是HTTP開頭，那麼趕緊升級到HTTPS。你需要在你的Web伺服器中安裝部署一張SSL證書。這張證書是由CA機構所簽發的，SSL證書中包含了用於進行非對稱加密的公鑰，在資料傳輸前，瀏覽器會適用SSL證書中的公鑰對資料進行非對稱加密。

新的網站安全機制中，SSL證書變得非常重要。目前，SSL證書分為三類：EV SSL證書、OV SSL證書和DV SSL證書。

EV SSL證書：又稱為擴充套件驗證型SSL證書，提供最高階別的信任和身份驗證。EV證書網站，會在瀏覽器中顯示綠色位址列，更會突出顯示公司名稱，從視覺上提供一種直觀的的信任保證。EV SSL證書支援256位加密強度，支援ECC和RSA雙演算法，最大限度地保障您的網站安全。EV SSL證書是目前最高階的伺服器證書產品。

OV SSL證書：該證書除了驗證網站域名外，還會對網站的所有企業進行嚴格的身份認證稽覈。通過稽覈的企業單位才能簽發證書，以此來保證網站的真實性和合法性。部署了OV證書的網站，在瀏覽器位址列中會出現“安全鎖”圖示，並且可以在SSL證書中檢視到網站所屬企業名稱，能為使用者有效地區分出釣魚網站，鑑別出網站的真實身份。

DV SSL證書：是一款只對網站域名進行驗證的SSL證書。DV證書同樣可以對客戶端瀏覽器資料進行加密後傳輸，保證了傳輸鏈路上的資料安全，但由於DV證書不對網站所有者的身份進行稽覈，因此無法確定網站的真實身份，在安全級別上遠低於EV證書和OV證書。

既然證書變得很重要，那麼就會出現一些糟糕的證書。火狐瀏覽器提到：大多數瀏覽器，包括Firefox，都不信任來自GeoTrust、RapidSSL、Symantec、Thawte和VeriSign的證書，因為它們過去都沒有遵守證書機構的安全紀律。

並且，火狐瀏覽器也提示——不要信任Symantec(賽門鐵克) TLS 證書。