パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Fedora、rootユーザーによるsshパスワードログインのデフォルト無効化を検討開始」記事へのコメント

  • sshパスワードログインって、エンジニアでも、パスワードが平文で流れるとか、中間経路でのなりすまし攻撃に弱いといった勘違いをしている人がいるけど、そんなことはないです。
    パスワード認証だろうと通信自体は暗号化されるし、なりすまし攻撃はサーバの公開鍵のフィンガープリントの確認で防げます(普通のSSHクライアントは信頼済みでないフィンガープリントなら確認画面がでます)。
    つまり、ブルートフォースアタックに弱いだけですので、「j9FJ:45F4:mMFa」ぐらいの強度のパスワードなら何の問題もなかったわけです。
    多くの組織の場合、パスワードの前半部

    • by Anonymous Coward

      パスフレーズ無しの鍵認証なんて何らかの自動化目的以外で使われること
      あんまりないと思うけどなあ。

      • by Anonymous Coward on 2019年05月21日 16時30分 (#3618489)

        だよねえ。

        それはそれとして、秘密鍵がパスフレーズで保護されているとしても、
        もし鍵ファイルが盗まれたら盗んだ奴のローカルな環境でブルートフォースアタックが可能なのに対して、
        パスワード認証は(まともな)サーバーならブルートフォースアタック対策が出来てるはずだから、
        そういう意味じゃ公開鍵認証のほうが柔いって言えるかな?

        親コメント
        • ssh 鍵のパスフレーズを忘れたら [improve-future.com] の方法でブルートフォース解析できます。
          オフラインで解析できるので早いですよ。

          親コメント
          • by Anonymous Coward

            John the Ripper使ってる時点でかなり古くないか?この情報。それにブルートフォースで破れるパスフレーズって、どんだけ弱いんだ?解析はできます、でも結果は出るかわかりませんってことか?

          • by Anonymous Coward

            その記事にも
            > (実際のところ Minlen = 3, MaxLen = 10, CharCount = 62 だとまず終わらないです。)
            と書いてあるんですが…

            ブルートフォース解析できたのは、パスフレーズが短かったからです
            あなたの職場はsshを正しく運用できてないし、正しいsshの使い方も知らないのでしょう

        • by Anonymous Coward

          >パスワード認証は(まともな)サーバーならブルートフォースアタック対策が出来てるはずだから、
          え。どんな?鍵認証使うより簡単に?
          使ってるなぁパスフレーズ無しの鍵認証。パスフレーズ付けるぐらいなら鍵認証使わない。

          • by Anonymous Coward

            秘密鍵が絶対に盗まれないと自信を持って言えるなら、
            パスフレーズなしでも良いのかもしれないけど、
            普通はパスフレーズつけますわな。

            秘密鍵を盗むことができれば、秘密鍵に対してローカルでブルートフォースアタックが可能。
            # ただ、パスフレーズが十分な長さを持っていれば、攻撃は実質不可能。
            パスワードはブルートフォースアタックが来ても、
            サーバでアカウントがロックされるなどするので攻撃は不可能。

最初のバージョンは常に打ち捨てられる。

処理中...