Müşteri burada yanlış ve ne hakkında konuştuğunu anlamıyor. Özel anahtardaki parolayı değiştirmek çok kötü bir fikir çünkü çok sezgisel güvenlik özelliklerine sahip.
Normalde, kullanıcılar "artık gizli değil" olarak değiştirdikleri şifreleri düşünürler. Düşük değerli siteler, çevrimiçi tanıtıcılar / takma adlar, esprilerdeki yumruklar vb.
Özel bir anahtarı şifrelemek için kullanılan bir parola için, bu şekilde çalışmaz ! Anahtarla ilişkili tüm ayrıcalıklar iptal edilmediği sürece parola sonsuza kadar gizli tutulmalıdır (ve aşağıdaki ssh anahtarlarına uygulanmaz, ancak parola yalnızca imzalamak için değil, özel mesajlar almak için kullanılan bir anahtar için ise, o zaman sonsuza dek gerçekten sonsuza kadar demektir ). Bunun nedeni, şifreli özel anahtar dosyasının bir saldırgan tarafından edinilmiş olması veya gelecekte bir saldırgan tarafından alınabileceği bir yerde (yedeklemede olduğu gibi) saklanması olasılığıdır. Eğer parola hiç ortaya çıkarsa, o zaman tehlikeye girer.
Bir anlamda, kullanım ömrü boyunca N kodundan geçen özel bir anahtar güvenli bir şekilde 1 / N'dir, çünkü saldırganın şifreli özel anahtar dosyaya erişimi varsa, geçmiş anahtar sözcüklerden birinin bilgisi , anahtarı tehlikeye atmak için yeterlidir. .
Şimdi, sorununa geri dönelim.
Eğer müşteri bu "ssh şifrelerini" yanlış algılamaya kilitlememiş ve üzerine girmemiş olsaydı, yapılacak en doğru şey asla onları gündeme getirmeyecek ve anahtar ele almak için en iyi uygulamaları takip etmek olacaktır. Ama şimdi onlar sahip, muhtemelen onları tatmin etmek için bir şeyler yapmak zorunda. Özel anahtarları şifreleyen parolaların parolalardan farklı güvenlik özelliklerine sahip olduğunu açıklamayı deneyebilirsiniz, ancak müşterinin burada bir çok şeyle ilgili ne kadar yanlış olduğu göz önüne alındığında (parola sona ermesi genel olarak kötü bir fikirdir) bunun işe yarayacağından şüpheliyim.
Bu, yeni anahtarları dağıtmak için bir sistemi otomatikleştirme görevini yerine getirir. Ben ediyorum şiddetle vazgeçirmek beri merkezi olarak yeni anahtarlar üreten bir sistem otomatik hale sizi özel tuşlar makineler arasında taşınan asla . Bunun yerine, tarafınızdaki yeni özel anahtarlar oluşturmak ve ilgili ortak anahtarlar yayınlamak için erişime ihtiyaç duyan çalışanlarınız / yükleniciler için kolaylık sağlamak için işlemlere / hatırlatıcılara / komut dosyalarına sahip olmanız ve ortak anahtar dağıtım sistemine (Kukla veya başka bir şekilde) sahip olmanız gerekir. Bunları, erişmeleri gereken sistemlere doğru itiyorsunuz.
Ek olarak: Müşteriyi bunu bırakmaya ikna edebilecek bir şey, yeni özel anahtarın eskisinden farklı bir parolaya sahip olmanın, hatta bir parolaya sahip olmanın zorunluluğunun bir yolu olmadığını belirtmektir.