Sospecho que un sitio web pasa información clara de inicio de sesión de texto claro y, por lo que puedo decir, la conexión no está encriptada. ¿Existen herramientas basadas en la web para validar / probar un sitio web para características de seguridad básicas como esta?
Un navegador debería hacerlo. Si la página de inicio de sesión es HTTP en lugar de HTTPS, entonces ya tiene un problema porque, incluso si se supone que las credenciales se pasan a través de HTTPS, un atacante activo podría modificar la página de inicio de sesión para cambiar la acción o realizar otras acciones maliciosas adicionales.
Para determinar si incluso en el estado diseñado las credenciales se pasan sin autorización, solo vea la fuente de la página de inicio de sesión en el navegador. Si la acción del formulario de inicio de sesión es HTTP: //, o si la página de inicio de sesión es HTTP y la acción es relativa o sin esquema (el aspecto relativo es action="/process-login" y el aspecto sin esquema como action="//insecuresite.com/process-login" ), entonces las credenciales se pasan claramente. .
También puede usar la pestaña "Red" (o equivalente) en las herramientas de desarrollo de su navegador elegido, a las que se accede a través de F12 para examinar la solicitud real y determinar si es HTTP o HTTPS.
Lea otras preguntas en las etiquetas web-browser network penetration-test webserver web-service