SSH: Beim anmelden ist das Passwort in plain text / sniffable?
Ich begreife, dass diese Frage subjektiv ist.
Ich bin gespannt auf die intelligability eines SSH-Passwort, wenn ein SSH-tunnel erstellt wird. Erfolgt die sichere Sitzung beginnt, sobald ein Passwort authentifiziert hat, oder ist das Passwort selbst, eingekapselt in diese sichere Verbindung?
Nach eine interessante Debatte im Büro an diesem morgen, und abgesehen von der Möglichkeit, einen SSH-Passwort gefährdet werden könnte auf einem client mit einem keylogger, ich bin neugierig, wie die Möglichkeit, einen SSH-Passwort könnte auch beeinträchtigt werden mithilfe von Paket-sniffing-tools auf der LAN, oder auf irgendeinem proxy zwischen dem Client und dem Server. Es eröffnet eine breitere Debatte über die Weisheiten der Protokollierung in den privaten Dienstleistungen (wie ein Heim-NAS oder E-Mail) über einen SSH-tunnel, während Sie angemeldet ein client-Betriebssystem hinter einem/mehreren zwischengeschalteten proxy/ies. (also auf der Arbeit), insbesondere mit Forderungen, dass tools wie Ettercap in der Lage sind, die Spionage in SSH-Pakete.
Ich gehe davon aus, dass die gleichen überlegungen, die gemacht werden könnten, SSL/HTTPS, wo eine website nicht analysieren, das Passwort in eine ein-Weg-hash wie MD5?
Ihre überlegungen werden am meisten geschätzt.
Dank.
- Dies ist nicht eine Frage der Programmierung.
- In Bezug auf HTTPS, gibt es ähnliche Fragen: stackoverflow.com/questions/3911906/encrypting-http-post-data/... und stackoverflow.com/questions/3837989/.... Die gesamte Anfrage ist das senden über SSL/TLS (einschließlich Pfad der Anforderung, Kopf und Körper). Die übertragung der Passwort geschützt ist, selbst wenn gesendet in klar (über ein Formular oder HTTP-Basic).
- Ich sollte klären, was habe ich gerade gesagt: "Die übertragung der Passwort geschützt ist, auch wenn Sie geschickt im Klartext", damit meine ich, dass auch wenn das Passwort ist nicht verschlüsselt auf der Anwendungsschicht (HTTP-Basic-auth ist nur eine Codierung, und Passwörter in Formularen gesendet werden, wie-ist in der Formular-Daten). Es ist effektiv nicht gesendet, in klaren, gerade weil alles läuft über SSL/TLS (wie üblich, wenn geeignete cipher suites verwendet werden).
Du musst angemeldet sein, um einen Kommentar abzugeben.
Auszug aus der manpage von openssh:
SSH ist nicht mit der Bezeichnung "Secure Shell" für keinen Grund :).
SSH-public-key-Kryptographie für die Authentifizierung, die ist sich ziemlich sicher. Wenn wir davon ausgehen, dass der Angreifer nicht den privaten Schlüssel des Benutzers und der ssh-daemon -- das Passwort kann nicht entschlüsselt werden lediglich durch das hören auf das Netzwerk.
Dieses Protokoll, wie die meisten anderen auch nicht schützen Sie vor Angriffen von anderen Seiten. Es gibt mehrere Kombinationen aus social engineering und Man-in-the-middle-Angriffen, wie die SSH-version Downgrade-Angriff und die DNS-Spoofing-Angriff.