क्या SSH पासवर्ड को वाई-फाई पर सूँघा जा सकता है?

15

जब आप ssh, जो पासवर्ड आप कनेक्ट करने के लिए दर्ज करते हैं, अगर आप बिना मान्यता प्राप्त सार्वजनिक वाई-फाई (कॉफी की दुकान, पुस्तकालय, हवाई अड्डे, आदि) का उपयोग कर रहे हैं, तो रोक दिया जा सकता है।

ssh security wifi

— pp31
स्रोत

8

आप निश्चित रूप से एक सार्वजनिक वाई-फाई नेटवर्क पर पैकेट पर कब्जा कर सकते हैं लेकिन अगर आप एसएसएच का उपयोग कर रहे हैं और आपके पासवर्ड स्पष्ट में नहीं भेजे गए हैं तो आप जिस चीज को कैप्चर करेंगे, उसे डिक्रिप्ट करने में काफी थोड़ा समय लगेगा।

— कार्लसन
स्रोत

तो डिफ़ॉल्ट रूप से जब आपके ssh का उपयोग कर, आपके द्वारा दर्ज किया गया पासवर्ड एन्क्रिप्ट किया गया है?

— pp31

3

यह एक एन्क्रिप्टेड चैनल पर संप्रेषित होता है।

— कार्लसन

1

SSH के पास स्पष्ट में पासवर्ड भेजने का विकल्प भी नहीं है । इसके विपरीत, उदाहरण के लिए, टीएलएस / एसएसएल। टीएलएस का यह "फीचर" एक सादे सत्र की अनुमति देता है, भले ही दोनों पक्षों का क्रिप्टो समर्थन हो: एक पक्ष सिफर सुइट्स ए, बी और एन (एन = शून्य सिफर) का समर्थन करता है, दूसरा सी, डी और एन का समर्थन करता है, इसलिए दोनों समाप्त होते हैं। एन। टी। एल। के लिए बसने की अन्य ज्ञात कमजोरियाँ हैं , जो बताती हैं कि SSH समान गलतियों से प्रतिरक्षा नहीं कर सकता है। मेरी सबसे अच्छी सलाह: बेल्ट और सस्पेंडर्स ।

— वॉरेन यंग

6

SSH को एक अविश्वसनीय नेटवर्क में प्रयोग करने योग्य बनाया गया है। Wifi, वायर्ड, इससे कोई फर्क नहीं पड़ता: SSH मानता है कि सभी ट्रैफिक पर एक हमलावर द्वारा नजर रखी जा सकती है, और यहां तक कि हमलावर पैकेट को इंटरसेप्ट करने और उन्हें अलग-अलग करने की कोशिश करेगा।

पहली बार जब आप किसी विशेष क्लाइंट से किसी विशेष सर्वर पर ssh चलाते हैं, तो ssh आपसे पूछता है

The authenticity of host 'example.com (192.0.2.42)' can't be established.
RSA key fingerprint is 01:23:45:67:89:ab:cd:ef:01:23:45:67:89:ab:cd:ef.
Are you sure you want to continue connecting (yes/no)?

इस बिंदु पर, आपको यह जांचने की आवश्यकता है कि दूरस्थ सर्वर की पहचान (कुंजी फिंगरप्रिंट द्वारा दी गई) वह है जिसकी आप अपेक्षा करते हैं; एक हमलावर सर्वर के रूप में पारित करने की कोशिश कर सकता है। एक बार जब यह सत्यापन हो जाता है, और उस क्लाइंट से उस सर्वर के हर बाद के कनेक्शन के लिए, आप भरोसा कर सकते हैं कि ई-कॉमर्स और विश्वसनीय द्वारा संचार की जासूसी नहीं की जा सकती है (इसमें आपके द्वारा टाइप की गई कमांड वास्तव में सर्वर पर जाती हैं और प्रतिक्रियाएं वास्तव में होती हैं। सर्वर भेजे गए)।

Evesdroppers ssh सत्र में डेटा प्राप्त नहीं कर सकता है, लेकिन वे ट्रैफ़िक की मात्रा के साथ-साथ इसके समय का भी निरीक्षण कर सकते हैं। इससे गोपनीय डेटा लीक हो सकता है ; अंतःक्रियात्मक रूप से टाइप किए गए पासवर्ड विशेष रूप से जोखिम में होते हैं: वे कनेक्शन की शुरुआत में पहचानना आसान होते हैं, और वे चरित्र द्वारा चरित्र भेजे जाते हैं, इसलिए ईवेर्सडॉपर कीस्ट्रोक्स के बीच के समय को माप सकता है, और प्रत्येक उपाय उसके लिए थोड़ा आसान बनाता है। पासवर्ड का अनुमान लगाने के लिए ( आसान का मतलब आसान नहीं है !)। यह कमजोरी सार्वजनिक कुंजी प्रमाणीकरण को प्रभावित नहीं करती है, जिसे सुरक्षा और प्रयोज्य दोनों के लिए पासवर्ड की सिफारिश की जाती है।

— गिल्स 'SO- बुराई होना बंद करो'
स्रोत

******* बहुत बढ़िया!

— रॉल्फ

0

SSH एन्क्रिप्टेड है। लेकिन अंगूठे का नियम यह है कि, भले ही मुश्किल हो, आपको कभी भी किसी सार्वजनिक चैनल के माध्यम से भेजे गए कुछ को ग्रहण नहीं करना चाहिए।

मैं एक बार एक लेख में चला गया कि एसएसएच पासवर्ड सांख्यिकीय विश्लेषण के लिए कैसे असुरक्षित हैं - यही एक तरीका है जिससे आप क्रेडेंशियल्स को क्रैक कर सकते हैं।

पासवर्ड को सूँघा जा सकता है, इसके लिए संबंधित क्लीयरटेक्स प्राप्त करना आसान नहीं है।

आप सार्वजनिक-निजी कीपियों जैसी अन्य प्रमाणीकरण रणनीतियों का भी पता लगा सकते हैं, जो पासवर्ड को तोड़ना उतना आसान नहीं हो सकता है (जहाँ तक कि आप तेज़ी से कारक नहीं बना सकते हैं)।

— njsg
स्रोत

1

आप शायद " टाइमिंग एनालिसिस ऑफ कीस्ट्रोक्स एंड टाइमिंग अटैक्स ऑन एसएसएच " सॉन्ग, वैगनर और तियान द्वारा सोच रहे हैं । सार्वजनिक कुंजी प्रमाणीकरण वास्तव में असुरक्षित नहीं है।

— गिलेस एसओ- बुराई को रोकना '

धन्यवाद! मैंने वास्तव में इसके बारे में एक वेबसाइट (और लेख नहीं) पर पढ़ा था, लेकिन वह लेख और "मुद्दा" था, इसलिए मैंने उसी के अनुसार अपना उत्तर अपडेट किया।

— njsg