এসএসএইচ কী এক্সচেঞ্জ পাসওয়ার্ড প্রমাণীকরণের চেয়ে বেশি সুরক্ষিত?

9

দূরবর্তী ব্যবহারকারীরা এসএসএইচ ব্যবহার করে ইন্টারনেটের মাধ্যমে আমাদের প্রধান অফিসে বেশ কয়েকটি পরিষেবায় সংযুক্ত হন। এসএসএইচ পাসওয়ার্ডটি তাদের ল্যান এ / ডি অ্যাকাউন্টের সাথে সিঙ্ক্রোনাইজ করা হয়েছে।

ব্যবহারকারীরা নিজের পাসওয়ার্ড টাইপ করার চেয়ে সিডি বা কাগজের টুকরো জাতীয় কিছু ব্যবহার করে কোনও এসএসএইচ কী-এর ঘরে একটি অনুলিপি আনবে? নাকি আমার দু'জনের দরকার?

আমার প্রশ্নটি সম্ভবত নীচে পুনঃ সূত্রিত হতে পারে: এসএসএইচ এর পাসওয়ার্ড প্রমাণীকরণ প্রোটোকলে কোনও দুর্বলতা আছে কি?

এই বার্তাটি আমাকে সন্দেহ করে তোলে:

The authenticity of host 'xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx)' can't be established.
RSA key fingerprint is xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:.
Are you sure you want to continue connecting (yes/no)?
security  ssh  authentication 
srmark
সূত্র

উত্তর:

22

আপনি যে বার্তাটি দেখছেন তা একটি পৃথক সমস্যা। এটি আপনাকে জিজ্ঞাসা করছে যে আপনি যে হোস্টটির সাথে সংযোগ করছেন সেটিই আপনার প্রত্যাশা হওয়া সত্যই। সার্ভার থেকে, আপনি চালিয়ে আঙুলের ছাপটি পেতে পারেন ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key.pub। তারপরে, যখন আপনি প্রথমবারের জন্য দূরবর্তীভাবে সংযোগ করছেন, আপনি আঙুলের ছাপগুলি মিলেছে কিনা তা নিশ্চিত করতে পারেন।

এখানে কর্মক্ষেত্রে দেখা হোস্ট কীগুলি, মাঝারি আক্রমণগুলিতে মানুষের সমস্যার সমাধান করে - সম্ভবত ডিএনএস বিপরীত হয়েছে এবং আপনি নিজের পরিবর্তে প্রতিযোগীর মেশিনে সংযোগ করছেন। সেই মেশিনটি আপনার শংসাপত্রগুলি সংগ্রহ করে এবং স্বচ্ছভাবে আপনার সংযোগটি সত্যিকারের সার্ভারের সাথে ফরোয়ার্ড করে, আপনাকে না জেনে আপনার তথ্য চুরি করে। হোস্ট কী ম্যাচগুলি নিশ্চিত হওয়া নিশ্চিত হওয়া উচিত যা আক্রমণকারী আপনার সার্ভারের সর্বজনীন কীটি প্রকৃতপক্ষে চুরি না করে।

যদিও একটি সমস্যা রয়ে গেছে - আপনি কীভাবে জানবেন কোন কীটি সঠিক? প্রথম সংযোগের পরে, সর্বজনীন কী আপনার ~/.ssh/known_hostsফাইলে সংরক্ষণ করা হয় , সুতরাং পরবর্তী সংযোগগুলি ঠিক আছে। তবে প্রথমবারের জন্য আপনার কাছে ফিঙ্গারপ্রিন্ট পাওয়ার কিছু আউট-অফ-ব্যান্ডের প্রয়োজন, অন্যথায় আপনি "TOFU" মডেলটি অনুসরণ করেন: প্রথমবার ব্যবহার-ভিত্তিতে ব্যবহার করুন।

তবে পাসওয়ার্ড বনাম কীগুলির সাথে এর কারও কিছুই করার নেই, কেবলমাত্র এই আক্রমণটির মাধ্যমে কী এবং পাসওয়ার্ড উভয়ই চুরি হয়ে যেতে পারে - এক অর্থে, আপনি যে দুর্বলতাটি জিজ্ঞাসা করছেন তা এটি।

(কমপক্ষে) তিনটি কারণে পাসওয়ার্ড কীগুলির চেয়ে খারাপ:

  1. তারা নিষ্ঠুর-বাধ্য হতে পারে। একটি সাধারণ ব্যবহারকারী-নির্বাচিত 8-অক্ষরের পাসওয়ার্ডটিতে অনুমান-এনট্রপি প্রায় 30 বিট থাকে। একটি ssh পাবলিক / প্রাইভেট কী জুটি 1024 বিট বা তার চেয়ে বড়। কোনও ssh কীটিকে জোর করে চাপানো কার্যকরভাবে অসম্ভব তবে স্বয়ংক্রিয় পাসওয়ার্ড অনুমান করা সর্বদা ঘটে।
  2. তারা বোবা হতে পারে। ব্যবহারকারীরা নিয়মিত জায়গায় ভয়ঙ্কর পাসওয়ার্ড নির্বাচন করেন এমনকি এমনকি জায়গাটিতে সীমাবদ্ধতা রয়েছে এবং তারা একাধিক জায়গায় আরও শক্ত পাসওয়ার্ড ব্যবহার করার ঝোঁক। এটি স্পষ্টতই আক্রমণগুলি সহজ করে তোলে।
  3. পাসওয়ার্ডগুলি দূর থেকে চুরি করা যায়। আপনি যখন এসএসএইচ ব্যবহার করছেন তখন পাসওয়ার্ডটি তারে এনক্রিপ্ট করা থাকে তবে এসএসএস সার্ভারের জন্য আপোস করা সিস্টেমে যে সমস্ত পাসওয়ার্ড লগইন করা হয় তা প্রতিস্থাপন করা খুব সাধারণ বিষয়। কীগুলির সাহায্যে, ব্যক্তিগত কী স্থানীয় সিস্টেমে থাকে এবং কখনই প্রেরণ হয় না এবং তাই ক্লায়েন্ট মেশিনের সাথে আপস না করে এটি চুরি করা যায় না।

অতিরিক্তভাবে, এসএসএস কীগুলি এমন ssh-agentকোনও কিছুর সাথে ব্যবহার করার সময় সুবিধার্থে দেয় - আপনি প্রতিবারের সাথে পুনরায় প্রমাণীকরণ না করে সংযোগের ঝামেলা-মুক্ত অপারেশন পান, তবুও সুরক্ষার একটি যুক্তিসঙ্গত ডিগ্রি বজায় রেখে।

উভয়ই জিজ্ঞাসা করার কোনও তাত্পর্যপূর্ণ সুবিধা নেই কারণ যে কেউ প্রাইভেট কীটি চুরি করতে পর্যাপ্ত অ্যাক্সেস পেয়েছে সে ব্যবহারকারীর পাসওয়ার্ডও মোটামুটি সহজেই চুরি করতে পারে। এর থেকে বেশি সুরক্ষার দরকার হলে আরএসএ সিকিউরিড বা উইকআইডি -র মতো একটি দ্বি-ফ্যাক্টর প্রমাণীকরণ সিস্টেমটি সন্ধান করুন

mattdm
সূত্র
দুর্দান্ত উত্তর। ঠিক আমি খুঁজছেন ছিল কি. ধন্যবাদ!
srmark
3 নম্বর সম্পর্কিত) আপনি যদি ইতিমধ্যে প্রশংসিত সার্ভারে লগ ইন করেন ... তবে কেউ কেন আপনার পাসওয়ার্ড চাইবে? আমি ভাবতে পারি তার কারণ হ'ল আপনি যদি সর্বত্র একই পাসওয়ার্ডটি ব্যবহার করেন।
সিরেক্স
সিরেক্স - ডান; তারা আপনার পাসওয়ার্ড চুরি করে এবং অন্যান্য সিস্টেমে এটি ব্যবহার করে। প্রশ্নটিতে নোট করুন যে পাসওয়ার্ডগুলি "ল্যান এ / ডি" হিসাবে ব্যবহৃত হয়। সুতরাং, তারা ssh লগইন সার্ভার থেকে আপনার পাসওয়ার্ড চুরি করে এবং তারপরে উইন্ডোজ সার্ভারেও অ্যাক্সেস পায়। তদতিরিক্ত, এখন, যখনই সিস্টেমটি আপোস করা হচ্ছে, আপনাকে "ঠিক আছে, প্রত্যেকে আপনার পাসওয়ার্ড আবার পরিবর্তন করুন" ফায়ার-ড্রিলের মধ্য দিয়ে যেতে হবে।
mattdm
এছাড়াও, যেমন সংখ্যা 2 উল্লেখ, ব্যবহারকারীরা হয় একই পাসওয়ার্ড সব জায়গায় ব্যবহার করে। দীর্ঘশ্বাস.
ম্যাচটিএম
নিচে pesky ব্যবহারকারীদের সাথে! :(
সায়রেক্স
1

আপনি যা সত্যিই জিজ্ঞাসা করছেন তা হ'ল "পূর্বের চেয়ে একটি গুণক ভাল", বিষয়টি মাল্টি-ফ্যাক্টর প্রমাণীকরণ এবং সত্যই আপনাকে বিষয়টিকে সন্ধানের জন্য ভাল পরামর্শ দেওয়া হবে।

সাধারণত একটি "ফ্যাক্টর" হ'ল এমন কিছু যা আপনার জানা (পাসওয়ার্ড), আপনার কাছে থাকা কিছু (এসএসএইচ ফাইল বা কী সোয়াইপ কার্ড), বা আপনার কিছু (আঙুলের ছাপ)।

প্রতি সেউন্ডারের চেয়ে একজনের চেয়ে ভাল নয়, তারা প্রশংসামূলক। আপনার প্রয়োজন অনুসারে যদি আপনার পাসওয়ার্ড ছড়িয়ে দেওয়া হয় তেমন কী-ফাইলে সিডি হারানো ততটা খারাপ। সুরক্ষিত পরিবেশের জন্য দুটি ফ্যাক্টর প্রমাণীকরণ সাধারণ।

Sirex
সূত্র
হ্যাঁ, আপনি কী বলছেন তা আমি বুঝতে পারি। এই ক্ষেত্রে, আমি তবে কেবল মাঝখানে মানুষের মতো কিছু ব্যবহার করে পাসওয়ার্ড প্রমাণীকরণ হ্যাক করা যায় কিনা তা অনুসন্ধান করার চেষ্টা করছি।
srmark
নির্দিষ্ট উদাহরণ হিসাবে এসএসএসের জন্য, না, যেমন পাসওয়ার্ড দেওয়ার বিভাগটিও এনক্রিপ্ট করা থাকে এবং সেশনের সময় কীগুলি পরিবর্তন হয় (আমি বিশ্বাস করি 30 সেকেন্ড)। এটি পাসওয়ার্ড বনাম
পাসকির
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.