L'accesso basato su chiave è considerato molto più sicuro degli accessi basati su password quando si guarda dalla prospettiva di un tentativo di forza bruta di ottenere l'accesso da un sistema di terze parti: le possibilità di violare una chiave sono effettivamente zero, mentre le password sbagliate sono tutte troppo comune.

Dal punto di vista di un sistema client compromesso (la tua stazione di lavoro), non ci sarà differenza perché se gli aggressori possono ottenere la tua chiave privata e / o dirottare una sessione, potrebbero anche installare qualche tipo di key logger, rendendo inutile il vantaggio percepito delle password.

È sicuro come il tuo computer. La chiave è seduta, non crittografata, nella RAM; un utente malintenzionato con accesso fisico alla tua macchina o accesso root remoto potrebbe ottenerlo.

Pensalo negli stessi termini come se i tuoi colleghi usassero un programma protetto da password e lo lasciassero sullo schermo con il database disponibile senza inserimento di password; se blocchi la tua workstation quando ti allontani e la mantieni al sicuro da attività remote ostili, allora è ragionevolmente sicuro, ma un attacco RAM congelato potrebbe ancora teoricamente ottenere la chiave.

Ma qualcuno in quelle posizioni potrebbe facilmente installare anche un keylogger, come hai sottolineato. Finché stai attento alla sicurezza della tua workstation, non la definirei meno sicura delle password; ma i veri vantaggi degli accessi basati su chiave sono in realtà la protezione contro, ad esempio, attacchi di password di forza bruta contro il server (poiché le chiavi sono quasi impossibili da usare con la forza bruta).

In realtà i tuoi colleghi hanno ragione. Pensa a questo ... Le tue postazioni di lavoro si rompono, è attivo da un paio di giorni e ora gli hacker pwnano l'intera rete perché non usi una passphrase ssh.

Detto questo, le password condivise non sono mai buone e una delle principali debolezze del sistema. Presumo che tu stia parlando di accesso root.

Il punto che sto facendo è che entrambi hanno degli svantaggi e dove la sicurezza deve essere posta.

Per tutti i server che amministratore utilizzo una chiave SSH con passphrase. Questo mi dà il meglio di entrambi i mondi. Una password che solo io conosco e che non utilizzo una password condivisa per altri utenti.

(e sì, ho visto dove una chiave SSH senza passphrase è stata utilizzata per compromettere l'intera rete.

Sei sicuro quanto il tuo anello più debole. Se i tuoi server remoti consentono sia l'autenticazione basata su password che quella basata su chiave, sei meno sicuro rispetto a consentirne solo una.

Le tue vulnerabilità aggiuntive per un sistema basato su chiave su Password Authentication (PA) sono:

1. Un utente malintenzionato ottiene una copia della tua chiave privata protetta da passphrase, ad esempio avendo accesso fisico a un disco non crittografato su qualsiasi sistema (ad esempio, avvio in modalità utente singolo), quindi esegue una GPU basata attacco di forza bruta offline sulla tua chiave e quindi ha accesso a tutti i tuoi sistemi se la tua passphrase è adeguatamente debole (ad esempio, 4 parole diceware).

2. Usi qualcosa come ssh-agent che mantiene la tua passphrase o chiave privata in memoria per un utilizzo successivo e un utente malintenzionato è in grado di rimuoverla dal tuo sistema in qualche modo (ad esempio, un'altra root l'utente è stato connesso mentre avevi la password in memoria).

3. La tua chiave era molto meno sicura di quanto pensavi. Ad esempio, la debolezza chiave di OpenSSH; dove l'unica casualità proveniva dall ' id di processo, quindi sono state generate solo 65536 chiavi. Anche se si spera che questi tipi di problemi vengano notati e risolti rapidamente, come utente finale è impossibile dire che non ce ne sono alcuni grave difetto nel generatore di numeri casuali utilizzato per creare le chiavi.

La tua sicurezza extra dall'utilizzo dell'autenticazione basata su chiave:

1. Bruto gli attacchi forzati non sono fattibili per tutta la vita dell'universo, senza rubare la tua chiave privata (e se era protetta da passphrase; quindi rompere la passphrase).
2. Gli attacchi MITM non funzioneranno (un host remoto dannoso può " t capire la tua chiave privata / passphrase); sebbene ssh segnali già gli attacchi MITM per avvisare gli amministratori utilizzando chiavi host e file known_hosts .

In pratica entrambi sono altrettanto sicuri. Chiunque possa rubare le chiavi private ssh dalla RAM, può installare un keylogger per ottenere le tue password / passphrase / chiavi private.

Personalmente, mi piace la tua soluzione in quanto una passphrase è più conveniente (memorizzata nella RAM; su una macchina monoutente che si blocca dopo 5 minuti); anche se ho ancora messo la mia chiave privata protetta da passphrase solo su macchine locali in cui sono l'unico utente.

Una delle ragioni per cui credo che l'autenticazione basata su chiave abbia un leggero vantaggio in termini di sicurezza è che ci sono volte in cui ho visto entrambi gli utenti finali e anche io a volte ho inserito la mia password in un campo nome utente invece che nella password finestra di dialogo (a seconda del client ssh). Oppure premi il tasto Invio troppo velocemente e il client ssh si chiude e la mia password è entrata nella cronologia del mio terminale.

Se non stai attento ogni volta che inserisci la password, è possibile che la tua password venga aggiunta in chiaro possibilmente a diversi file di registro, potenzialmente alla cronologia della shell, o anche a qualche tipo di cavallo di Troia. Nel caso di una chiave senza password o di una chiave caricata con un agente SSH all'inizio della sessione, non dovresti mai ridigitare la password, quindi è improbabile che tu digiti le tue credenziali nel posto sbagliato e riveli le tue password a qualcuno o qualcosa che non intendevi.

In un certo senso sono 6. Il primo rischio immediato per la sicurezza di un accesso basato su password sarebbe un utente non autorizzato che ottiene (con qualsiasi mezzo) la password per il server. Allo stesso modo, un accesso basato su chiave presenta il rischio per la sicurezza che alcuni utenti non autorizzati ottengano l'accesso al tuo computer. Se si utilizza una password complessa sul server, si corre il rischio che gli utenti della password debbano scriverla da qualche parte per ricordarla. Con gli utenti chiave, corri il rischio che si allontanino dalla scrivania con il computer sbloccato.

Molto dipende dal rapporto rischio-usabilità. Ovviamente potresti richiedere password sulle chiavi, consentire solo determinati indirizzi IP per chiave e qualsiasi altro numero di misure di sicurezza a prova di blocco, ma questo rende i tuoi dipendenti infelici.

Ma rispondere la tua domanda: se stiamo parlando di una configurazione Vanilla di OpenSSH, gli accessi basati su password e basati su chiave hanno entrambi i loro punti deboli di sicurezza diversi.

Disattivo sempre il login tramite password su ssh per root sui miei sistemi. In questo modo, non è possibile che un utente malintenzionato possa tentare di forzare la password.

Dovresti comunque diffidare della sicurezza sui sistemi client. Potresti voler fare in modo che l'agente ssh dimentichi le tue credenziali chiave quando si accende la schermata di blocco. Ciò aiuterebbe a impedire che gli attacchi al tuo computer client compromettano la tua chiave.

Alcune risposte decenti qui, ma a mio avviso tutte sembrano mancare il bersaglio.

Usare una coppia di chiavi per l'autenticazione sta sostituendo il "qualcosa che conosci" di un sistema basato su password con un "qualcosa hai "un sistema di chiavi o token. Torniamo a questo in un secondo.

Le chiavi sono molto più complesse. Penso che la maggior parte delle implementazioni SSH abbia come impostazione predefinita la chiave 2048 RSA. Confrontalo con una password di 8 caratteri. Anche se hash a 256 bit, le password, poiché mancano della casualità delle chiavi, possono essere forzate. Schneier ha alcune ottime osservazioni su questo; anche le password presumibilmente "buone" tendono ad essere solo una combinazione di dati crackabili (una parola con un numero e forse alcune semplici sostituzioni); noi umani siamo semplicemente troppo prevedibili.

Per quanto riguarda una chiave sicura quanto la password per accedere, questo non è del tutto corretto. Avvolgendo una chiave con un'altra password, si migliora notevolmente la sicurezza perché essenzialmente si utilizza l'autenticazione a due fattori; per accedere a qualcosa che hai (la chiave) devi usare qualcosa che conosci (una password). Sì, utilizzare la tua password di accesso per racchiudere una chiave comprometterebbe questo.

Quindi, per il poster originale, direi che sia tu che i tuoi colleghi avete torto. Potresti essere meno di loro, ma la risposta giusta è che dovresti usare sia una chiave che una password.