パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Fedora、rootユーザーによるsshパスワードログインのデフォルト無効化を検討開始」記事へのコメント

  • sshパスワードログインって、エンジニアでも、パスワードが平文で流れるとか、中間経路でのなりすまし攻撃に弱いといった勘違いをしている人がいるけど、そんなことはないです。
    パスワード認証だろうと通信自体は暗号化されるし、なりすまし攻撃はサーバの公開鍵のフィンガープリントの確認で防げます(普通のSSHクライアントは信頼済みでないフィンガープリントなら確認画面がでます)。
    つまり、ブルートフォースアタックに弱いだけですので、「j9FJ:45F4:mMFa」ぐらいの強度のパスワードなら何の問題もなかったわけです。
    多くの組織の場合、パスワードの前半部

    • by Anonymous Coward

      ssh-keygen
      Generating public/private rsa key pair.
      Enter file in which to save the key (/home/whoami/.ssh/id_rsa):
      Enter passphrase (empty for no passphrase):
      標準で聞いてくるよなあ…emptyにするのが標準なんだろうか?あと、秘密鍵暗号化に対応してないSSHクライアントってなんだろ?これってネタとか釣りなのかな?

      パスワード認証許可だと、パスワードを使いまわされた結果別のところから漏洩することになるから、やっぱり公開鍵+暗号化だよなあ?パスワード変更不可ならまだしも…

      • by Anonymous Coward on 2019年05月21日 17時57分 (#3618541)

        パスワード使い回すのって、パスワードをpasswordにしたり、
        秘密鍵の入ったモバイルPCやUSBメモリにパスフレーズ書いた付箋貼っとくのと同じぐらいアホなことなので、
        そんなアホのやることまで考えてたら、どっちもどっちじゃろ

        親コメント
        • by Anonymous Coward on 2019年05月21日 19時12分 (#3618593)

          はははは…。
          https://it.srad.jp/story/19/03/13/0457206/ [it.srad.jp]

          IT従事者でもこのざまなのに、ガチ素人相手にシステム運用してる社内SEとしては、そんな正論空しいだけだな。

          親コメント
          • by Anonymous Coward

            初期パスワード渡して変えてもらうようなシステムならよいのだが、そうもいかないシステムでユーザに希望するパスワードを提出してもらうと、
            それ他のサービスでも使いまわしてるだろ…みたいなパスワードを無邪気に提出してくるので知るのが怖い。

            • by Anonymous Coward

              銀行口座の乱数表カードっていろいろ考えられてるなと気づかされるな。
              口座ごとに固有のものだから使いまわしできないし、書留で郵送することで二段階認証にもなっている。

              ただしログインのたびに乱数表見るのはめんどくさすぎるので、振り込みなどの一部のオペレーションのみに要求されるsudo的な位置づけか。

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

処理中...