对于主SSH密钥和我每天使用的计算机的用户登录口令,使用相同的口令(是否安全)是否安全?假设我是该计算机的唯一用户。有哪些潜在的安全风险?
一般来说,除非您在同一领域中使用相同的密码(例如,在由同一组管理的机器或服务中,并且可以访问其中一台机器/服务的人通常拥有该密码),否则重用密码是个坏主意。访问所有这些。
您在机器A上的帐户密码在机器A上使用,并控制对机器A的访问。在机器A上的SSH私钥上的密码在机器A上使用,并控制对其他机器的访问。如果您在两个密码上都使用了相同的密码,并且该密码被泄露,则这将损害计算机A和其他计算机。因此,共享密码对安全性不利。
在计算机A上使用您在计算机A上的帐户密码,并控制对计算机A的访问。在计算机B上使用您在计算机B上的SSH私钥的密码,并控制对计算机A的访问。 ,那么它可能会从A或B泄漏。因此,共享密码对安全性不利。
密码也可能通过备份泄漏。例如,如果主目录的备份受到破坏(或者您不小心将私钥文件上传到Github-您不是第一个¹),则攻击者可以访问该密钥文件。OpenSSH私钥文件格式容易受到对密码的暴力攻击。自OpenSSH 6.5起,存在一种新格式(选择ssh-keygen -o
该格式可正确使用慢速哈希,但从OpenSSH 7.7开始默认不使用它。因此,如果攻击者可以访问您的密钥文件,则很可能会获得密码,这使他们可以使用密钥,而无需密钥即可登录。即使散列速度较慢,如果您的密码太弱,拥有密钥文件的攻击者也可能会脱机破解它(即,仅受他们愿意花费多少电量的限制)。
由于这些原因,您不应将相同的密码用于SSH密钥和用户帐户。如果您想保护密钥文件,但又不想记住一个单独的密码,则最好使用不可记忆的密码并将其存储在密钥环中(Gnome密钥环的确使用慢速哈希值)。²
¹我认为Github现在可以防止直接上传密钥文件。
²并且请记住不要泄露密钥环的备份,但这实际上比使用SSH的问题要小,因为人们倾向于备份.ssh
包含诸如config
和的配置文件的目录authorized_keys
。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句