Могут ли пароли SSH быть обнаружены через Wi-Fi?


15

Когда вы ssh, можете ли вы ввести пароль для подключения, будут перехвачены, если вы используете ненадежный общедоступный Wi-Fi (кафе, библиотека, аэропорт и т. Д.).

Ответы:


8

Вы, конечно, можете захватывать пакеты в общедоступной сети Wi-Fi, но если вы используете SSH и ваши пароли не отправляются в открытом виде, потребуется много времени, чтобы расшифровать то, что вы будете захватывать.


Таким образом, по умолчанию, когда вы используете ssh, пароль, который вы ввели, зашифрован?
стр. 31

3
Он передается по зашифрованному каналу.
Карлсон

1
SSH даже не имеет возможности отправлять пароли в открытом виде. В отличие, например, от TLS / SSL. Эта «особенность» TLS допускает сеанс открытого текста, даже если обе стороны поддерживают шифрование: одна сторона поддерживает наборы шифров A, B и N (N = нулевой шифр), другая поддерживает C, D и N, поэтому обе стороны заканчиваются Урегулирование для N. TLS имеет другие известные уязвимости , которые предполагают, что SSH не может быть защищен от подобных ошибок. Мой лучший совет: ремень и подтяжки .
Уоррен Янг

6

SSH разработан для использования в ненадежной сети. Wifi, проводной, это не имеет значения: SSH предполагает, что злоумышленник может отслеживать весь трафик, и даже что злоумышленник попытается перехватить пакеты и заменить их другими.

При первом запуске ssh с определенного клиента на конкретный сервер ssh спросит вас

The authenticity of host 'example.com (192.0.2.42)' can't be established.
RSA key fingerprint is 01:23:45:67:89:ab:cd:ef:01:23:45:67:89:ab:cd:ef.
Are you sure you want to continue connecting (yes/no)? 

На этом этапе вам необходимо убедиться, что идентификация удаленного сервера (заданная по отпечатку ключа) соответствует ожидаемой; злоумышленник может пытаться пройти как сервер. После выполнения этой проверки и при каждом последующем подключении этого клиента к этому серверу вы можете быть уверены, что перехватчики не смогут следить за связью и быть надежными (поскольку введенные вами команды действительно отправляются на сервер, а ответы действительно те, которые сервер отправил).

Подслушивающие не могут получить данные в сеансе ssh, но они могут наблюдать за объемом трафика и его временем. Это может привести к утечке конфиденциальных данных ; Пароли, введенные в интерактивном режиме, особенно подвержены риску: их легко распознать в начале соединения, и они отправляются символ за символом, поэтому подслушиватель может измерить время между нажатиями клавиш, и каждая мера облегчает ее угадать пароль ( проще не значит легко !). Этот недостаток не влияет на аутентификацию с открытым ключом, которая рекомендуется использовать вместо паролей как для безопасности, так и для удобства использования.


******* классно!
Рольф

0

SSH зашифрован. Но практическое правило заключается в том, что, даже если это трудно, вы никогда не должны предполагать, что что-либо, отправленное через общедоступный канал, не может быть подслушано.

Однажды я зашел в статью о том, как пароли SSH уязвимы для статистического анализа - это один из способов взлома учетных данных.

Пароли можно прослушать, просто получить соответствующий открытый текст нелегко.

Вы также можете изучить другие стратегии аутентификации, такие как открытые и открытые пары ключей, которые, возможно, не так просто взломать, как пароли (если вы не можете быстро вычислить простые числа).


1
Вероятно, вы думаете о « Анализе времени нажатия клавиш и временных атак по SSH » Сонгом, Вагнером и Тианом. Аутентификация с открытым ключом действительно не уязвима.
Жиль "ТАК - перестань быть злым"

Благодарность! На самом деле я читал об этом на веб-сайте (а не в самой статье), но это была статья и «проблема», поэтому я соответствующим образом обновил свой ответ.
njsg
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.