क्या SSH Key Exchange पासवर्ड प्रमाणीकरण से अधिक सुरक्षित है?

9

दूरस्थ उपयोगकर्ता SSH के उपयोग से इंटरनेट पर हमारे मुख्य कार्यालय में कई सेवाओं से जुड़ते हैं। SSH पासवर्ड उनके LAN A / D खाते के साथ सिंक्रनाइज़ किया गया है।

क्या उपयोगकर्ताओं को अपने पासवर्ड में उपयोगकर्ता प्रकार रखने की तुलना में सीडी या कागज के टुकड़े की तरह कुछ का उपयोग करके SSH कुंजी घर की एक प्रति लाएगा? या मुझे दोनों की आवश्यकता होनी चाहिए?

मेरा प्रश्न संभवतः इस प्रकार फिर से तैयार किया जा सकता है: क्या एसएसएच के पासवर्ड प्रमाणीकरण प्रोटोकॉल में कोई भेद्यता है?

यह संदेश है जो मुझे संदेह करता है:

The authenticity of host 'xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx)' can't be established.
RSA key fingerprint is xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:.
Are you sure you want to continue connecting (yes/no)?
security  ssh  authentication 
srmark
स्रोत

जवाबों:

22

जो संदेश आप देख रहे हैं, वह एक अलग मुद्दा है। यह आपसे यह पुष्टि करने के लिए कह रहा है कि जिस होस्ट से आप जुड़ रहे हैं वह वास्तव में वह है जिसकी आप अपेक्षा करते हैं। सर्वर से, आप फिंगरप्रिंट चलाकर प्राप्त कर सकते हैं ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key.pub। फिर, जब आप पहली बार दूरस्थ रूप से कनेक्ट कर रहे हैं, तो आप यह सुनिश्चित कर सकते हैं कि उंगलियों के निशान मेल खाते हैं।

मेजबान कुंजी, यहां कार्रवाई में देखी गई, मध्य हमलों में आदमी की समस्या को संबोधित करती है - शायद DNS को हटा दिया गया है, और आप अपने स्वयं के बजाय एक प्रतियोगी की मशीन से जुड़ रहे हैं। वह मशीन आपके क्रेडेंशियल्स को इकट्ठा करती है और पारदर्शी रूप से वास्तविक सर्वर से आपके कनेक्शन को जानती है, बिना आपकी जानकारी के चोरी करती है। यह सुनिश्चित करना कि होस्ट कुंजी मिलान ऐसा होने से रोकता है जब तक कि हमलावर ने वास्तव में आपके सर्वर की सार्वजनिक कुंजी चोरी नहीं की हो।

एक समस्या बनी हुई है, हालांकि - आप कैसे जानते हैं कि कौन सी कुंजी सही है? पहले कनेक्शन के बाद, सार्वजनिक कुंजी आपकी ~/.ssh/known_hostsफ़ाइल में संग्रहीत होती है , इसलिए बाद के कनेक्शन ठीक हैं। लेकिन पहली बार, आपको या तो फिंगरप्रिंट प्राप्त करने के कुछ आउट-ऑफ-बैंड तरीके की आवश्यकता होती है, या फिर आप "TOFU" मॉडल का पालन करें: ट्रस्ट-ऑन-प्रथम-उपयोग।

लेकिन इसमें से किसी का भी पासवर्ड बनाम कीज़ से कोई लेना-देना नहीं है, सिवाय इसके कि चाबियां और पासवर्ड दोनों ही इस हमले के ज़रिए चुराए जा सकते हैं - एक मायने में, यह वह भेद्यता है जो आप पूछ रहे हैं।

वहाँ (कम से कम) तीन कारण पासवर्ड कुंजियों से भी बदतर हैं:

  1. उन्हें क्रूरता से मजबूर किया जा सकता है। एक विशिष्ट उपयोगकर्ता-चयनित 8-वर्ण पासवर्ड में अनुमान लगाने वाले एंट्रोपी के लगभग 30 बिट्स होते हैं। एक ssh सार्वजनिक / निजी कुंजी जोड़ी 1024 बिट या अधिक है। एक ssh कुंजी को ब्रूट-फोर्स करना प्रभावी रूप से असंभव है, लेकिन स्वचालित पासवर्ड अनुमान लगाना हर समय होता है।
  2. वे गूंगे हो सकते हैं। उपयोगकर्ता नियमित रूप से भयानक पासवर्ड का चयन करते हैं, यहां तक ​​कि जगह में प्रतिबंध के साथ, और वे कई स्थानों पर कठिन पासवर्ड का उपयोग करते हैं। यह स्पष्ट रूप से हमलों को आसान बनाता है।
  3. पासवर्ड को रिमोट से चुराया जा सकता है। जब आप SSH का उपयोग कर रहे होते हैं, तो पासवर्ड तार पर एन्क्रिप्ट किया जाता है, लेकिन ssh सर्वर के लिए समझौता किए गए सिस्टम पर प्रतिस्थापित किया जाना बहुत आम है जो सभी पासवर्डों को लॉग करता है। चाबियों के साथ, निजी कुंजी स्थानीय प्रणाली पर रहती है और इसे कभी भी भेजा नहीं जाता है, और इसलिए इसे ग्राहक मशीन से समझौता किए बिना चोरी नहीं किया जा सकता है।

इसके अतिरिक्त, ssh कुंजियाँ सुविधा प्रदान करती हैं जब कुछ के साथ प्रयोग किया जाता है ssh-agent- आपको हर बार फिर से प्रमाणित किए बिना कनेक्ट करने का परेशानी मुक्त संचालन मिलता है, जबकि अभी भी सुरक्षा का एक उचित स्तर बनाए रखता है।

दोनों के लिए पूछने में कोई महत्वपूर्ण लाभ नहीं है, क्योंकि जिस व्यक्ति के पास निजी कुंजी चोरी करने के लिए पर्याप्त पहुंच है, वह उपयोगकर्ता के पासवर्ड को भी आसानी से चुरा सकता है। यदि आपको इससे अधिक सुरक्षा की आवश्यकता है, तो RSA SecurID या WiKID जैसे दो-कारक प्रमाणीकरण प्रणाली पर विचार करें

mattdm
स्रोत
बहुत बढ़िया जवाब। ठीक वही जो मेरे द्वारा खोजा जा रहा था। धन्यवाद!
20:18 पर srmark
नंबर 3 के बारे में) अगर आप पहले से ही कंपेयर किए गए सर्वर में लॉग इन कर रहे हैं ... तो कोई आपका पासवर्ड क्यों चाहेगा? केवल कारण मैं सोच सकता हूं कि क्या आप हर जगह एक ही पासवर्ड का उपयोग करते हैं।
21
साइरेक्स - सही; वे आपका पासवर्ड चुराते हैं और अन्य प्रणालियों पर इसका उपयोग करते हैं। इस प्रश्न पर ध्यान दें कि पासवर्ड का उपयोग "LAN A / D" के रूप में किया जाता है। तो, वे ssh लॉगिन सर्वर से आपका पासवर्ड चुराते हैं और फिर विंडोज सर्वर तक भी पहुंच रखते हैं। इसके अतिरिक्त, अब, जब भी सिस्टम से समझौता किया जाता है, तो आपको "ठीक है, सभी को अपना पासवर्ड फिर से बदलना होगा" फायर-ड्रिल करना होगा।
21
इसके अलावा, जैसा कि नंबर 2 में उल्लेख किया गया है, उपयोगकर्ता हर जगह एक ही पासवर्ड का उपयोग कर रहे हैं । आह।
21
pesky उपयोगकर्ताओं के साथ नीचे! :(
21
1

क्या आप वास्तव में पूछ रहे हैं, "एक कारक से बेहतर है", विषय बहु-कारक प्रमाणीकरण है और वास्तव में आपको इस विषय पर ध्यान देने की सलाह दी जाएगी।

आमतौर पर एक "कारक" कुछ ऐसा है जिसे आप जानते हैं (पासवर्ड), कुछ आपके पास है (ssh फ़ाइल या कुंजी स्वाइप कार्ड), या कुछ आप हैं (फिंगरप्रिंट)।

एक प्रति से अधिक बेहतर नहीं है, वे मानार्थ हैं। कीफाइल के साथ सीडी को खोना उतना ही बुरा है जितना कि आपके पासवर्ड को डिवेलप करना अगर आपको इसकी आवश्यकता है। सुरक्षित वातावरण के लिए दो कारक प्रमाणीकरण आम है।

Sirex
स्रोत
हां, मैं समझता हूं कि आप क्या कह रहे हैं। इस मामले में, मैं केवल यह पता लगाने की कोशिश कर रहा हूं कि क्या बीच में आदमी की तरह कुछ का उपयोग करके पासवर्ड प्रमाणीकरण को हैक किया जा सकता है।
क्रमांक
विशिष्ट उदाहरण के रूप में ssh के लिए, नहीं, क्योंकि पासवर्ड देने वाला अनुभाग भी एन्क्रिप्ट किया गया है, और सत्र (30 सेकंड) का मानना ​​है कि चाबियाँ बदल जाती हैं। हालांकि यह पासवर्ड बनाम पासकी का प्रतिबिंब नहीं है
Sirex
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.