Por que a autenticação da chave SSH é melhor que a autenticação por senha?

Navegue suas respostas
40

Isso não é tanto uma questão técnica quanto conceitual. Eu entendo que a criptografia usada em uma chave SSH é muito mais strong que uma senha comum, mas não entendo por que ela é considerada mais segura.

A maioria dos tutoriais que eu leio sugere usar a autenticação de chave SSH em vez da autenticação por senha. Mas meu entendimento é que qualquer pessoa que tenha acesso a uma máquina cliente pré-aprovada poderá se conectar ao servidor, o que significa que o nível de segurança fornecido pela chave SSH é tão strong quanto o nível de segurança da chave física. máquina cliente.

Por exemplo, se eu configurar uma chave SSH no meu telefone para me conectar à minha máquina doméstica, se eu perder meu telefone e alguém conseguir desbloqueá-lo, eles poderão se conectar à minha máquina doméstica. Sei que posso remover a chave do meu celular da minha máquina doméstica, mas estou vulnerável até perceber que o dispositivo do cliente foi perdido / violado.

Eu entendi mal alguma coisa ou são essas preocupações válidas?

    
por BoomShaka 28.06.2011 / 14:49

3 respostas

36

Se o seu serviço SSH permitir autenticação baseada em senha, o seu servidor SSH conectado à Internet será martelado dia e noite por bot-nets, tentando adivinhar nomes de usuário e senhas. O botnet não precisa de informações, ele pode apenas tentar nomes populares e senhas populares. Há um monte de gente chamado john com uma senha de qwerty123. Além de qualquer outra coisa, isso obstrui seus registros.

Se o seu serviço SSH permitir somente a autenticação de chave pública, um invasor precisará de uma cópia de uma chave privada correspondente a uma chave pública armazenada no servidor. Eles não podem apenas fazer ataques aleatórios, eles precisam ter conhecimento prévio de seus usuários e precisam roubar uma chave privada do PC de um usuário autorizado do seu servidor SSH.

O fato de que chaves privadas são frequentemente protegidas por uma frase-senha longa é de significado secundário.

Atualização:

Como os comentários apontam, e como eu experimentei, mover seu serviço SSH da porta 22 para uma porta numerada alta faz uma diferença dramática no número de tentativas de login não autorizadas que aparecem em seus registros. Vale a pena fazê-lo, mas considero-o como uma forma de segurança pela obscuridade (uma falsa sensação de segurança) - mais cedo ou mais tarde, os bot-nets irão implementar varreduras de portas furtivas lentas ou você será deliberadamente visado. Melhor estar preparado.

Sempre uso uma frase-senha longa para proteger minha chave privada. Acho que isso é de particular importância em dispositivos móveis que podem ser perdidos ou roubados com mais facilidade.

Além disso, link

    
por 28.06.2011 / 15:33
7

A lógica é que existem muito mais combinações de chaves SSH do que senhas, então é muito mais difícil de adivinhar. O uso de chaves SSH também permite que você desabilite a autenticação por senha, o que significa que a maioria dos ataques automáticos circulando pela Internet será inútil.

No que diz respeito à segurança física, não há diferença entre salvar uma senha e ter uma chave SSH não criptografada em seu dispositivo se for perdida ou roubada. A única vantagem que você tem é que ninguém tem sua senha e, teoricamente, você pode ter certeza de que todos os dispositivos têm certificados SSH diferentes, então você pode simplesmente desativar o seu telefone.

Eu acredito que também é possível proteger com senha as chaves SSH.

    
por 28.06.2011 / 14:53
1

As senhas também podem ser comprometidas pelo seu monitor sendo monitorado "over-your-shoulder". Além disso, usar senhas semelhantes em muitos lugares é uma fraqueza, especialmente se a senha às vezes é usada em um computador menos seguro com keyloggers em potencial.

Você está certo de que uma chave não criptografada pode ser lida no disco rígido se o computador for roubado - então criptografe-a com uma senha.

Se o seu computador estiver comprometido por malware, você estará recheado de qualquer maneira .. - alguém pode obter a chave criptografada e digitar sua senha.

    
por 29.06.2011 / 06:39

Tags

cat / proc / meminfo o que todos esses números significam Como imprimo com a folha de estilo da tela?