Temelinde dosya transferi olan bu protokoller bir çok defa kafa karışıklığına neden olmakta. SFTP ve FTPS sundukları kimlik doğrulama seçenekleriyle FTP’den çok daha güvenilirdirler.
FTP komut kanalı ve veri kanalı olmak üzere iki ayrı kanal tarafından veri transferi yapar. Bu iki kanalda da veriler şifrelenmez ve araya girebilecek saldırganlar tarafından kolaylıkla okunabilir. Bu noktada saldırganların kullandıkları en bililen yöntemler ortadaki adam saldırısı ve ARP zehirlenmesi saldırılarıdır. PCI DSS, HIPAA gibi bir çok standart tarafından FTP kullanımı kabul edilmez. Bu üç protokolden en son tercih edilmesi gerekeni FTP’dir.
SFTP ve FTPS sundukları kimlik doğrulama seçenekleriyle daha güvenli bir şekilde dosya transferi yaparlar. Bu iki protokol arasındaki temek fark portları kullanım şekillerindedir. SFTP tüm transfer işlemlerini tek port üzerinden yaparken FTPS birden çok port kullanır. FTPS’in birden çok portu kulllanması güvenlik duvarında daha çok porta izin verilmesi anlamına geliyor. Bundan dolayı SFTP’nin güvenliği FTPS’e göre daha iyidir.
FTPS’de kullanıcı adı ve parolaya ek olarak sertifikanın kullanılması gerekir. Sertifikanın bililen sertifika yetkilileri(CA) tarafından onaylanması gerekiyor. CA’lara alternatif olarak dosya transferi yapacak olan sunucular tarafından da bu sertifikalar tanımlanabilir. FTPS önlem olarak FTP’ye ayrı bir katman ekliyor diyebiliriz. Hem kullanıcı adı ve parola hem de sertifika yöntemleri aynı anda kullanılabilir.
SFTP ise SSH protokülü kullanır. Tek port üzerinden dosya transferi yapar ve hem kimlik doğrulama bilgilerini hem de veriyi şifreler. SFTP doğrulama için iki farklı yöntem kullanır.
FTP’de olduğu gibi kullanıcı adı ve parola ile doğrulama yapılabilir. FTP’ye ek olarak girilen kullanıcı adı ve parola bilgilerini şifrelemekte ve bu şekilde güvenli hale gelmektedir.
Diğer yöntem olarak SSH Anahtarları kullanılır. Bu yöntemde genel(public) ve özel(private) olmak üzere iki farklı anahtar oluştursunuz ve genel anahtarınızı dosya transferi yapmak istediğiniz tarafa gönderirsiniz. Sizin genel anahtarınızı hesabınızla ilişkilendirmelerinden sonra başarılı bir şekilde doğrulama işlemi yapılır. Hem kullanıcı adı ve parola hem de anahtarlar aynı anda kullanılabilir.
Güvenlik duvarında tek porta ihtiyacı olmasından dolayı SFTP tercih edilebilir.