PasswordAuthentication ayarının TÜM parola tabanlı kimlik doğrulamasını kontrol etmediğini lütfen unutmayın. ChallengeResponseAuthentication genellikle ayrıca şifreler ister.
PasswordAuthentication kontrolleri, RFC-4252'de tanımlanan 'şifre' kimlik doğrulama şemasını destekler (bölüm 8). ChallengeResponseAuthentication RFC-4256'da tanımlanan 'klavye etkileşimli' kimlik doğrulama şeması için desteği denetler. 'Klavye etkileşimli' kimlik doğrulama şeması teorik olarak bir kullanıcıya çok sayıda çok yönlü soru sorabilir. Uygulamada sıklıkla sadece kullanıcının şifresini sorar.
Parola tabanlı kimlik doğrulamasını tamamen devre dışı bırakmak istiyorsanız, BOTH PasswordAuthentication ve ChallengeResponseAuthentication'ı "hayır" olarak ayarlayın. Kemer askısı ve zırhlısı zihniyetindeyseniz, UsePAM'i de 'hayır' olarak ayarlayın.
Genel / Özel Anahtar tabanlı kimlik doğrulama (PubkeyAuthentication ayarı tarafından etkinleştirilir) elbette sunucuya kullanıcı şifreleri gönderilmesini gerektirmeyen ayrı bir kimlik doğrulama türüdür.
Bazıları ChallengeResponseAuthentication'ı kullanmanın PasswordAuthentication'tan daha güvenli olduğunu iddia ediyor, çünkü otomatikleştirilmesi daha zor. Bu nedenle, ChallengeResponseAuthentication özelliğini etkinleştirirken PasswordAuthentication özelliğini devre dışı bırakmanızı önerirler. Bu yapılandırma aynı zamanda herhangi bir otomatik sistem oturum açma işlemi için açık kodlu kimlik doğrulamasının kullanımını teşvik eder (ancak zorunlu olarak engellemez). Ancak, SSH ağ tabanlı bir protokol olduğundan, sunucunun ChallengeResponseAuthentication (aka 'klavyeyle etkileşimli') yanıtlarının gerçekte her zaman olduğu gibi bir klavyede oturan bir kullanıcı tarafından verildiğini garanti etmenin bir yolu yoktur. ve sadece bir kullanıcının şifresini istemekten ibarettir.