アカウント名:
パスワード:
sshパスワードログインって、エンジニアでも、パスワードが平文で流れるとか、中間経路でのなりすまし攻撃に弱いといった勘違いをしている人がいるけど、そんなことはないです。パスワード認証だろうと通信自体は暗号化されるし、なりすまし攻撃はサーバの公開鍵のフィンガープリントの確認で防げます(普通のSSHクライアントは信頼済みでないフィンガープリントなら確認画面がでます)。 つまり、ブルートフォースアタックに弱いだけですので、「j9FJ:45F4:mMFa」ぐらいの強度のパスワードなら何の問題もなかったわけです。 多くの組織の場合、パスワードの前半部
sshでroot loginできること自体の是非は別にあるとして、sshの「公開鍵認証はパスワード認証よりも安全」みたいな誤解はどうにかして欲しいですねマジで。
素直な利用の運用なら(空パスフレーズとか、秘密鍵をやたら運搬したりとかしない)なら、高強度パスワードを用意するよりかは、人間のさまざまを考えて安全かなとは思うが
ただ、無条件ではないですよね
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
日本の運用だとかえって危険になる気がする (スコア:0)
sshパスワードログインって、エンジニアでも、パスワードが平文で流れるとか、中間経路でのなりすまし攻撃に弱いといった勘違いをしている人がいるけど、そんなことはないです。
パスワード認証だろうと通信自体は暗号化されるし、なりすまし攻撃はサーバの公開鍵のフィンガープリントの確認で防げます(普通のSSHクライアントは信頼済みでないフィンガープリントなら確認画面がでます)。
つまり、ブルートフォースアタックに弱いだけですので、「j9FJ:45F4:mMFa」ぐらいの強度のパスワードなら何の問題もなかったわけです。
多くの組織の場合、パスワードの前半部
Re:日本の運用だとかえって危険になる気がする (スコア:0)
sshでroot loginできること自体の是非は別にあるとして、
sshの「公開鍵認証はパスワード認証よりも安全」みたいな誤解はどうにかして欲しいですねマジで。
Re:日本の運用だとかえって危険になる気がする (スコア:1)
素直な利用の運用なら(空パスフレーズとか、秘密鍵をやたら運搬したりとかしない)なら、高強度パスワードを用意するよりかは、人間のさまざまを考えて安全かなとは思うが
ただ、無条件ではないですよね
M-FalconSky (暑いか寒い)