アカウント名:
パスワード:
sshパスワードログインって、エンジニアでも、パスワードが平文で流れるとか、中間経路でのなりすまし攻撃に弱いといった勘違いをしている人がいるけど、そんなことはないです。パスワード認証だろうと通信自体は暗号化されるし、なりすまし攻撃はサーバの公開鍵のフィンガープリントの確認で防げます(普通のSSHクライアントは信頼済みでないフィンガープリントなら確認画面がでます)。 つまり、ブルートフォースアタックに弱いだけですので、「j9FJ:45F4:mMFa」ぐらいの強度のパスワードなら何の問題もなかったわけです。 多くの組織の場合、パスワードの前半部
ssh-keygenGenerating public/private rsa key pair.Enter file in which to save the key (/home/whoami/.ssh/id_rsa):Enter passphrase (empty for no passphrase):標準で聞いてくるよなあ…emptyにするのが標準なんだろうか?あと、秘密鍵暗号化に対応してないSSHクライアントってなんだろ?これってネタとか釣りなのかな?
パスワード認証許可だと、パスワードを使いまわされた結果別のところから漏洩することになるから、やっぱり公開鍵+暗号化だよなあ?パスワード変更不可ならまだしも…
使いまわすのは秘密鍵も同じでは?PuTTYgenとかで作って同じのサーバにアップして使いません?
VPS50台管理していたら50セットもキーペア作るんですか?
使いまわしても、自分の端末から漏洩することはあっても別のところから漏洩はしないでしょw
ちゃうちゃう、秘密鍵自体をみんなで共有しやがるの。だから同じ秘密鍵がいろんな端末に入っているという。その時点で漏れたとみなすべきだろうけど、彼女らはそういう認識を持たない。何言っているんだって思おうかもしんないけど、そういう運用する馬鹿多い。というか、運用に携わるITエンジニアってそんなばっか。
秘密鍵の使いまわしって、基本SSHでしかやらないでしょう?パスワードはWindowsのサインインに始まり、GmailだFaceBookだYahooだOffice365だAppleIDだ、全部同じにしている人が結構いるわけです。haveibeenpwned.comで検索するとまあ出るわ出るわ。この理由だけでパスワードはだめなんです。使いまわしの抵抗感がほぼゼロなんです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
開いた括弧は必ず閉じる -- あるプログラマー
日本の運用だとかえって危険になる気がする (スコア:0)
sshパスワードログインって、エンジニアでも、パスワードが平文で流れるとか、中間経路でのなりすまし攻撃に弱いといった勘違いをしている人がいるけど、そんなことはないです。
パスワード認証だろうと通信自体は暗号化されるし、なりすまし攻撃はサーバの公開鍵のフィンガープリントの確認で防げます(普通のSSHクライアントは信頼済みでないフィンガープリントなら確認画面がでます)。
つまり、ブルートフォースアタックに弱いだけですので、「j9FJ:45F4:mMFa」ぐらいの強度のパスワードなら何の問題もなかったわけです。
多くの組織の場合、パスワードの前半部
Re: (スコア:0)
ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/home/whoami/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
標準で聞いてくるよなあ…emptyにするのが標準なんだろうか?あと、秘密鍵暗号化に対応してないSSHクライアントってなんだろ?これってネタとか釣りなのかな?
パスワード認証許可だと、パスワードを使いまわされた結果別のところから漏洩することになるから、やっぱり公開鍵+暗号化だよなあ?パスワード変更不可ならまだしも…
Re:日本の運用だとかえって危険になる気がする (スコア:0)
パスワード認証許可だと、パスワードを使いまわされた結果別のところから漏洩することになるから、やっぱり公開鍵+暗号化だよなあ?パスワード変更不可ならまだしも…
使いまわすのは秘密鍵も同じでは?
PuTTYgenとかで作って同じのサーバにアップして使いません?
VPS50台管理していたら50セットもキーペア作るんですか?
Re:日本の運用だとかえって危険になる気がする (スコア:1)
自分の周りの場合基本的に接続元端末毎に接続先台数分作る
~/.ssh/config に書いとけばいいし
Re: (スコア:0)
使いまわしても、自分の端末から漏洩することはあっても
別のところから漏洩はしないでしょw
Re: (スコア:0)
ちゃうちゃう、秘密鍵自体をみんなで共有しやがるの。
だから同じ秘密鍵がいろんな端末に入っているという。
その時点で漏れたとみなすべきだろうけど、彼女らはそういう認識を持たない。
何言っているんだって思おうかもしんないけど、そういう運用する馬鹿多い。
というか、運用に携わるITエンジニアってそんなばっか。
Re: (スコア:0)
秘密鍵の使いまわしって、基本SSHでしかやらないでしょう?パスワードはWindowsのサインインに始まり、GmailだFaceBookだYahooだOffice365だAppleIDだ、全部同じにしている人が結構いるわけです。haveibeenpwned.comで検索するとまあ出るわ出るわ。この理由だけでパスワードはだめなんです。使いまわしの抵抗感がほぼゼロなんです。