https/SSL 无处不在。只保护登录是没有用的，因为从不安全的连接中窃取会话 cookie 是微不足道的（参见http://codebutler.github.com/firesheep/）。

永远不要向他们发送密码。在一个设计合理的系统中，无论如何这是不可能的（只存储散列的、加盐的密码，而不是实际的密码）。然而，太多的网站仍然这样做。

安全性可能是普通用户在信任网站时考虑的最后一件事。

想想去大型实体公司的网站。当人们访问 macys.com 或bloomingdales.com 时，他们考虑的最后一件事就是安全性。这些商店拥有如此强大的品牌，即使安全状况如何，人们也会感到安全。

想想有多少人被网络钓鱼企图欺骗。如果普通用户真正关心，他们不应该落入常见的网络钓鱼技巧。

离主题有点远，但你会明白我的意思：

银行已开始将安全服务用作营销中的增值服务，例如 2 因素身份验证和智能卡 - 这些过去仅适用于高净值客户和公司账户，但现在正在出售给个人，以提供额外的安全性他们。

此外，Trusteer Rapport 是第 3 方应用程序的一个示例，它为用户和网站之间的连接提供额外的安全性和身份验证。由于公众对网络钓鱼的恐惧，它被大量推销。

基本的安全控制做得好只是没有足够的新闻价值，所以为了让用户因为 IT 控制而信任你的网站，你需要一些额外的东西。