アカウント名:
パスワード:
sshパスワードログインって、エンジニアでも、パスワードが平文で流れるとか、中間経路でのなりすまし攻撃に弱いといった勘違いをしている人がいるけど、そんなことはないです。パスワード認証だろうと通信自体は暗号化されるし、なりすまし攻撃はサーバの公開鍵のフィンガープリントの確認で防げます(普通のSSHクライアントは信頼済みでないフィンガープリントなら確認画面がでます)。 つまり、ブルートフォースアタックに弱いだけですので、「j9FJ:45F4:mMFa」ぐらいの強度のパスワードなら何の問題もなかったわけです。 多くの組織の場合、パスワードの前半部
パスフレーズ無しの鍵認証なんて何らかの自動化目的以外で使われることあんまりないと思うけどなあ。
だよねえ。
それはそれとして、秘密鍵がパスフレーズで保護されているとしても、もし鍵ファイルが盗まれたら盗んだ奴のローカルな環境でブルートフォースアタックが可能なのに対して、パスワード認証は(まともな)サーバーならブルートフォースアタック対策が出来てるはずだから、そういう意味じゃ公開鍵認証のほうが柔いって言えるかな?
ssh 鍵のパスフレーズを忘れたら [improve-future.com] の方法でブルートフォース解析できます。オフラインで解析できるので早いですよ。
John the Ripper使ってる時点でかなり古くないか?この情報。それにブルートフォースで破れるパスフレーズって、どんだけ弱いんだ?解析はできます、でも結果は出るかわかりませんってことか?
その記事にも> (実際のところ Minlen = 3, MaxLen = 10, CharCount = 62 だとまず終わらないです。)と書いてあるんですが…
ブルートフォース解析できたのは、パスフレーズが短かったからですあなたの職場はsshを正しく運用できてないし、正しいsshの使い方も知らないのでしょう
>パスワード認証は(まともな)サーバーならブルートフォースアタック対策が出来てるはずだから、え。どんな?鍵認証使うより簡単に?使ってるなぁパスフレーズ無しの鍵認証。パスフレーズ付けるぐらいなら鍵認証使わない。
秘密鍵が絶対に盗まれないと自信を持って言えるなら、パスフレーズなしでも良いのかもしれないけど、普通はパスフレーズつけますわな。
秘密鍵を盗むことができれば、秘密鍵に対してローカルでブルートフォースアタックが可能。# ただ、パスフレーズが十分な長さを持っていれば、攻撃は実質不可能。パスワードはブルートフォースアタックが来ても、サーバでアカウントがロックされるなどするので攻撃は不可能。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家
日本の運用だとかえって危険になる気がする (スコア:0)
sshパスワードログインって、エンジニアでも、パスワードが平文で流れるとか、中間経路でのなりすまし攻撃に弱いといった勘違いをしている人がいるけど、そんなことはないです。
パスワード認証だろうと通信自体は暗号化されるし、なりすまし攻撃はサーバの公開鍵のフィンガープリントの確認で防げます(普通のSSHクライアントは信頼済みでないフィンガープリントなら確認画面がでます)。
つまり、ブルートフォースアタックに弱いだけですので、「j9FJ:45F4:mMFa」ぐらいの強度のパスワードなら何の問題もなかったわけです。
多くの組織の場合、パスワードの前半部
Re: (スコア:0)
パスフレーズ無しの鍵認証なんて何らかの自動化目的以外で使われること
あんまりないと思うけどなあ。
Re:日本の運用だとかえって危険になる気がする (スコア:0)
だよねえ。
それはそれとして、秘密鍵がパスフレーズで保護されているとしても、
もし鍵ファイルが盗まれたら盗んだ奴のローカルな環境でブルートフォースアタックが可能なのに対して、
パスワード認証は(まともな)サーバーならブルートフォースアタック対策が出来てるはずだから、
そういう意味じゃ公開鍵認証のほうが柔いって言えるかな?
パスフレーズ知っている人が退職しちゃったので解析した経験あり (スコア:1)
ssh 鍵のパスフレーズを忘れたら [improve-future.com] の方法でブルートフォース解析できます。
オフラインで解析できるので早いですよ。
Re: (スコア:0)
John the Ripper使ってる時点でかなり古くないか?この情報。それにブルートフォースで破れるパスフレーズって、どんだけ弱いんだ?解析はできます、でも結果は出るかわかりませんってことか?
Re: (スコア:0)
その記事にも
> (実際のところ Minlen = 3, MaxLen = 10, CharCount = 62 だとまず終わらないです。)
と書いてあるんですが…
ブルートフォース解析できたのは、パスフレーズが短かったからです
あなたの職場はsshを正しく運用できてないし、正しいsshの使い方も知らないのでしょう
Re: (スコア:0)
>パスワード認証は(まともな)サーバーならブルートフォースアタック対策が出来てるはずだから、
え。どんな?鍵認証使うより簡単に?
使ってるなぁパスフレーズ無しの鍵認証。パスフレーズ付けるぐらいなら鍵認証使わない。
Re: (スコア:0)
秘密鍵が絶対に盗まれないと自信を持って言えるなら、
パスフレーズなしでも良いのかもしれないけど、
普通はパスフレーズつけますわな。
秘密鍵を盗むことができれば、秘密鍵に対してローカルでブルートフォースアタックが可能。
# ただ、パスフレーズが十分な長さを持っていれば、攻撃は実質不可能。
パスワードはブルートフォースアタックが来ても、
サーバでアカウントがロックされるなどするので攻撃は不可能。