アカウント名:
パスワード:
sshパスワードログインって、エンジニアでも、パスワードが平文で流れるとか、中間経路でのなりすまし攻撃に弱いといった勘違いをしている人がいるけど、そんなことはないです。パスワード認証だろうと通信自体は暗号化されるし、なりすまし攻撃はサーバの公開鍵のフィンガープリントの確認で防げます(普通のSSHクライアントは信頼済みでないフィンガープリントなら確認画面がでます)。 つまり、ブルートフォースアタックに弱いだけですので、「j9FJ:45F4:mMFa」ぐらいの強度のパスワードなら何の問題もなかったわけです。 多くの組織の場合、パスワードの前半部
パスフレーズ無しの鍵認証なんて何らかの自動化目的以外で使われることあんまりないと思うけどなあ。
だよねえ。
それはそれとして、秘密鍵がパスフレーズで保護されているとしても、もし鍵ファイルが盗まれたら盗んだ奴のローカルな環境でブルートフォースアタックが可能なのに対して、パスワード認証は(まともな)サーバーならブルートフォースアタック対策が出来てるはずだから、そういう意味じゃ公開鍵認証のほうが柔いって言えるかな?
ssh 鍵のパスフレーズを忘れたら [improve-future.com] の方法でブルートフォース解析できます。オフラインで解析できるので早いですよ。
その記事にも> (実際のところ Minlen = 3, MaxLen = 10, CharCount = 62 だとまず終わらないです。)と書いてあるんですが…
ブルートフォース解析できたのは、パスフレーズが短かったからですあなたの職場はsshを正しく運用できてないし、正しいsshの使い方も知らないのでしょう
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日々是ハック也 -- あるハードコアバイナリアン
日本の運用だとかえって危険になる気がする (スコア:0)
sshパスワードログインって、エンジニアでも、パスワードが平文で流れるとか、中間経路でのなりすまし攻撃に弱いといった勘違いをしている人がいるけど、そんなことはないです。
パスワード認証だろうと通信自体は暗号化されるし、なりすまし攻撃はサーバの公開鍵のフィンガープリントの確認で防げます(普通のSSHクライアントは信頼済みでないフィンガープリントなら確認画面がでます)。
つまり、ブルートフォースアタックに弱いだけですので、「j9FJ:45F4:mMFa」ぐらいの強度のパスワードなら何の問題もなかったわけです。
多くの組織の場合、パスワードの前半部
Re: (スコア:0)
パスフレーズ無しの鍵認証なんて何らかの自動化目的以外で使われること
あんまりないと思うけどなあ。
Re: (スコア:0)
だよねえ。
それはそれとして、秘密鍵がパスフレーズで保護されているとしても、
もし鍵ファイルが盗まれたら盗んだ奴のローカルな環境でブルートフォースアタックが可能なのに対して、
パスワード認証は(まともな)サーバーならブルートフォースアタック対策が出来てるはずだから、
そういう意味じゃ公開鍵認証のほうが柔いって言えるかな?
パスフレーズ知っている人が退職しちゃったので解析した経験あり (スコア:1)
ssh 鍵のパスフレーズを忘れたら [improve-future.com] の方法でブルートフォース解析できます。
オフラインで解析できるので早いですよ。
Re:パスフレーズ知っている人が退職しちゃったので解析した経験あり (スコア:0)
その記事にも
> (実際のところ Minlen = 3, MaxLen = 10, CharCount = 62 だとまず終わらないです。)
と書いてあるんですが…
ブルートフォース解析できたのは、パスフレーズが短かったからです
あなたの職場はsshを正しく運用できてないし、正しいsshの使い方も知らないのでしょう