SSH anahtar doğrulama neden parola doğrulamadan daha iyidir?

Bu kavramsal olduğu kadar teknik bir soru değil. Bir SSH anahtarında kullanılan şifrelemenin normal bir şifreden çok daha güçlü olduğunu biliyorum, ama neden daha güvenli olduğunu anlamıyorum.

Okuduğum çoğu öğretici, parola doğrulaması yerine SSH anahtar doğrulaması kullanmanızı önerir. Ancak benim anladığım kadarıyla, önceden onaylanmış bir müşteri makinesine erişimi olan herkes sunucuya bağlanabilecek ve bu da SSH anahtarının sağladığı güvenlik seviyesinin yalnızca fiziksel güvenlik seviyesinin kadar güçlü olacağı anlamına geliyor. müşteri makinesi

Örneğin, ev makineme bağlanmak için telefonumda bir SSH anahtarı ayarlarsam, telefonumu kaybedersem ve birisi kilidini açmayı başarırsa, ev makineme bağlanabileceklerdir. Telefonumun anahtarını ev makinemden çıkarabileceğimi biliyorum, ancak istemci cihazın kaybolduğunu / ihlal edildiğini fark edene kadar savunmasızım.

Bir şeyi yanlış mı anladım, yoksa bu geçerli kaygılar mı?

SSH servisiniz parola tabanlı doğrulamaya izin veriyorsa, İnternet bağlantılı SSH sunucunuz, kullanıcı adlarını ve şifrelerini tahmin etmeye çalışarak bot ağları tarafından gece ve gündüz dövülecektir. Bot ağı bilgi gerektirmez, sadece popüler isimleri ve popüler şifreleri deneyebilir. John adında, qwerty123 şifresiyle çok sayıda insan var. Her şeyden başka, bu sizin loglarınızı tıkar.

SSH hizmetiniz yalnızca genel anahtar kimlik doğrulamasına izin veriyorsa, saldırganın sunucuda depolanan genel anahtara karşılık gelen özel bir anahtarın bir kopyasına ihtiyacı vardır. Sadece rastgele saldırılar yapamazlar, kullanıcılarınız hakkında önceden bilgi sahibi olmalı ve SSH sunucunuzun yetkili bir kullanıcısının PC'sinden özel bir anahtar çalabilmelidirler.

Özel anahtarların genellikle uzun bir parola cümlesiyle korunduğu gerçeği, ikincil öneme sahiptir.

Güncelleme:

Yorumlar işaret ettiğine göre ve deneyimlediğim gibi, SSH hizmetinizi 22 numaralı bağlantı noktasından yüksek numaralı bir bağlantı noktasına taşımak, kayıtlarınızda görünen yetkisiz oturum açma girişimi sayısında çarpıcı bir fark yaratıyor. Bu yapmaya değer ama ben belirsizliğin (yanlış bir güvenlik duygusu) bir güvenlik biçimi olarak görüyorum - er ya da geç bot ağları, yavaş gizli port taraması yapacak ya da kasıtlı olarak hedefleneceksiniz. Hazırlanmak daha iyi.

Özel anahtarımı korumak için her zaman uzun bir parola kullanıyorum, bunun daha kolay kaybedilebilen veya çalınabilecek mobil cihazlarda özellikle önemli olduğunu düşünüyorum.

Ayrıca, http://xkcd.com/538/

Mantık, SSH anahtarlarının şifrelerden çok daha fazla kombinasyonunun bulunmasıdır, bu yüzden tahmin edilmesi çok zordur. SSH tuşlarını kullanmak, internet üzerinden yapılan otomatik saldırıların çoğunun işe yaramayacağı anlamına gelen parola doğrulamasını devre dışı bırakmanıza da olanak tanır.

Fiziksel güvenlik ile ilgili olarak, bir parola kaydetme ile cihazınızda kaybolması veya çalınması durumunda şifrelenmemiş bir SSH anahtarının bulunması arasında bir fark yoktur. Sahip olabileceğiniz tek avantaj, şifrenizin kimsede olmamasıdır ve teorik olarak tüm cihazların farklı SSH sertifikalarına sahip olduğundan emin olabilirsiniz; böylece bir tanesini telefonunuz için devre dışı bırakabilirsiniz.

SSH anahtarlarını parola korumanın da mümkün olduğuna inanıyorum.

Şifreler ayrıca klavyenizin "omzunuzun üzerinden" izlenmesiyle de tehlikeye girebilir. Buna ek olarak, birçok yerde benzer şifreleri kullanmak, özellikle de parola bazen potansiyel keylogger'ları olan daha az güvenli bir bilgisayarda kullanılıyorsa, bir zayıflıktır.

Bilgisayarın çalınması durumunda şifrelenmemiş bir anahtarın sabit diskten okunabileceği konusunda haklısınız, bu yüzden bir şifre ile şifreleyin.

Bilgisayarınız kötü amaçlı yazılımdan etkilenirse, ne olursa olsun doldurulursunuz .. - birisi şifreli anahtarı alabilir ve şifrenizi yazabilir.