Si es la única persona que accede al sitio web, entonces es solo a la red a la que accede que el sitio web debe estar seguro. Por ejemplo, supongamos que solo opera este blog desde su red doméstica. Si su red doméstica fue comprometida por un pirata informático y se trataba de una falsificación ARP en la red para capturar sus credenciales o tenía control sobre su enrutador para registrar paquetes.
También te recomendaría (si aún no lo estás haciendo), hash de tu contraseña del cliente usando javascript / jQuery antes de enviarlo a través de la red. También puedes lanzar un apretón de manos allí para hacer que sea más difícil comprometerse también.
Si desea dar un paso más allá para reforzar la seguridad:
- Página de inicio de sesión de solicitud de cliente
- El servidor les da la página de inicio de sesión con la tecla de saludo
- El cliente hace un hash de la contraseña y la crea, luego agrega la clave del protocolo de enlace y hace un hash.
- El servidor obtiene la contraseña de la base de datos, que es un hash y una clave de intercambio, y asegúrese de que sea válida antes de procesarla. Asegúrese de que el cliente no administre la clave de negociación.
- Si se trata de contraseñas de intercambio, compare la contraseña con la contraseña de la base de datos.
Esto evitaría que un pirata informático hiciera que alguien comprometiera la red local y obtuviera su contraseña de hash que no podría iniciar sesión en su cuenta, ya que no sabrían la contraseña para el protocolo.