我有一个关于这个选项的问题:
# Change to no to disable tunnelled clear text passwords
PasswordAuthentication yes
如果设置为 yes,用户可以使用本地密码登录。
在这种情况下,“明文”究竟是什么意思?
身份验证期间的连接是否未加密?发布的密码是否未经过哈希处理?
我的主要兴趣是,例如在我的 WLAN 中使用 ngrep 或 tcpdump 时是否有人可以看到密码。
SSH 中的密码认证是一种受 SSH 隧道保护的明文密码通信,不多也不少。
为什么密码没有散列?由于技术原因,密码已在/etc/shadow文件中散列。所以它不能被协议再次散列。(好吧,您可以对散列进行散列,但这并不能提供额外的安全性恕我直言)。
在正常情况下,这是安全的。这假设您连接到受信任的服务器并验证服务器签名。
这可能是不安全的唯一情况是当您连接到恶意服务器(例如:MITM 攻击)并且您没有验证服务器签名时。在这种情况下,攻击者可以轻松嗅探密码。
密码身份验证的替代方法是什么?公钥认证,因为在这种模式下,密钥本身永远不会被发送。
| 归档时间: |
|
| 查看次数: |
6477 次 |
| 最近记录: |