我只是想知道SSH服务器是否会在身份验证过程中的某个时刻获取普通密码。我知道密码是加密发送的,但它必须以某种方式进行验证,然后由服务器解密。 SSH客户端是否仅发送其密码的哈希值或如何保持安全性?
答案 0 :(得分:1)
密码通过加密通道发送到服务器 - 因此无法“通过线路”嗅探 - 但sshd需要明文密码才能验证它是否与本地存储的内容相匹配密码哈希。
因此,当系统遭到入侵时,首先发生的事情之一就是有人替换了sshd,以便它可以收集密码并将其运送到其他地方。
通过使用ssh密钥可以在很大程度上避免这个问题,ssh密钥使用公共/私有加密,不涉及向服务器公开“秘密”,或者通过使用多因素身份验证,这可以减少密码泄露(因为没有第二个因素,密码本身没用)。