【发布时间】:2015-02-17 08:02:39
【问题描述】:
我只是想知道 SSH 服务器是否会在身份验证过程中的某个时刻获得纯密码。我知道密码是加密发送的,但它必须以某种方式进行验证,因此必须由服务器解密。 SSH 客户端是否只发送其密码的哈希值或如何维护安全性?
【问题讨论】:
-
为什么在这里发送密码是一个安全问题?当然,在 ssh 中使用密钥比使用密码更有意义。但是如果您使用密码而不是必须将其发送到服务器。散列不能在客户端完成,因为客户端不知道所使用的身份验证后端。
-
这是一个安全问题,因为我的密码可能被服务器嗅探。
-
如前所述:没有办法绕过它。如果这让您感到困扰,请使用 ssh 密钥(您必须首先设置密码,所以将其提供给服务器,不是吗?)。使用密钥应该可以解决您的问题,因为那时密码和密钥都不会通过网络发送。而是使用质询响应身份验证策略。大多数 ssh 服务器甚至不再允许基于密码的身份验证,但出于其他原因。