এসএসএইচ পাসওয়ার্ডগুলি কী ওয়াই-ফাইয়ের মাধ্যমে স্নিগ্ধ করা যেতে পারে?

15

আপনি যখন sshসংযোগের জন্য প্রবেশ করা পাসওয়ার্ডটি আটকে রাখতে পারেন, আপনি যদি অবিশ্বস্ত পাবলিক ওয়াই-ফাই (কফিশপ, লাইব্রেরি, বিমানবন্দর ইত্যাদি) ব্যবহার করেন তবে তা আটকাতে পারবেন।

ssh security wifi

— pp31
সূত্র

8

আপনি অবশ্যই সর্বজনীন Wi-Fi নেটওয়ার্কে প্যাকেটগুলি ক্যাপচার করতে পারেন তবে আপনি যদি এসএসএইচ ব্যবহার করছেন এবং আপনার পাসওয়ার্ডগুলি পরিষ্কারভাবে না পাঠানো হয়েছে তবে আপনি যে জিনিসটি ধরবেন সেটি ডিক্রিপ্ট করতে বেশ খানিকটা সময় লাগবে।

— Karlson
সূত্র

সুতরাং ডিফল্টরূপে যখন আপনি ssh ব্যবহার করছেন, আপনি প্রবেশ করা পাসওয়ার্ডটি এনক্রিপ্ট হবে?

— পিপিপি ১

3

এটি একটি এনক্রিপ্ট করা চ্যানেলের মাধ্যমে জানানো হয়।

— কার্লসন

1

, SSH এমনকি নেই আছে স্পষ্ট মধ্যে পাসওয়ার্ড পাঠাতে একটি বিকল্প। উদাহরণস্বরূপ, টিএলএস / এসএসএল এর বিপরীতে। টিএলএসের এই "বৈশিষ্ট্য" একটি উভয় পক্ষের ক্রিপ্টো সমর্থন সত্ত্বেও একটি সরল পাঠ সেশন মঞ্জুরি দেয়: এক পক্ষ সিফার স্যুট এ, বি এবং এন (এন = নাল সিফার) সমর্থন করে, অন্যটি সি, ডি এবং এন সমর্থন করে, তাই উভয় পক্ষই শেষ হয় এন টিএলএসের জন্য স্থিতিশীল হওয়ার অন্যান্য জ্ঞাত দুর্বলতা রয়েছে যা সুপারিশ করে যে এসএসএইচ অনুরূপ ভুল থেকে রক্ষা পাবে না। আমার সেরা পরামর্শ: বেল্ট এবং স্থগিতকারী ।

— ওয়ারেন ইয়ং

6

এসএসএইচ একটি অবিশ্বস্ত নেটওয়ার্ক জুড়ে ব্যবহারযোগ্য হতে ডিজাইন করা হয়েছে। ওয়াইফাই, তারযুক্ত, এতে কিছু যায় আসে না: এসএসএইচ ধরে নিয়েছে যে আক্রমণকারী দ্বারা সমস্ত ট্র্যাফিক পর্যবেক্ষণ করা যেতে পারে, এবং এমনকী আক্রমণকারী প্যাকেটগুলিকে বাধা দেওয়ার চেষ্টা করবে এবং তাদের দ্বারা প্রতিস্থাপন করবে।

প্রথমবার যখন আপনি কোনও নির্দিষ্ট ক্লায়েন্ট থেকে কোনও নির্দিষ্ট সার্ভারে ssh চালান, ssh আপনাকে জিজ্ঞাসা করে

The authenticity of host 'example.com (192.0.2.42)' can't be established.
RSA key fingerprint is 01:23:45:67:89:ab:cd:ef:01:23:45:67:89:ab:cd:ef.
Are you sure you want to continue connecting (yes/no)?

এই মুহুর্তে, আপনাকে যাচাই করতে হবে যে রিমোট সার্ভারের পরিচয় (কী ফিঙ্গারপ্রিন্ট দ্বারা দেওয়া) আপনি প্রত্যাশা করেছেন; একজন আক্রমণকারী সার্ভার হিসাবে পাস করার চেষ্টা করতে পারে। একবার এই যাচাইকরণটি হয়ে গেলে, এবং সেই ক্লায়েন্টের থেকে সেই সার্ভারের সাথে পরবর্তী সংযোগের জন্য, আপনি বিশ্বাস করতে পারেন যে যোগাযোগটি গুপ্তচরবৃত্তি এবং নির্ভরযোগ্য দ্বারা গুপ্তচরবৃত্তি করা যাবে না (আপনি যে কমান্ডগুলি টাইপ করেন তা সত্যই সার্ভারে যায় এবং প্রতিক্রিয়াগুলি সত্যই হয় যা সার্ভার প্রেরণ করেছে)।

ইশ্রাড্রপপারগুলি এসএস সেশনে ডেটা পেতে পারে না তবে তারা ট্র্যাফিকের পরিমাণ এবং তার সময় নির্ধারণ করতে পারে। এটি গোপনীয় তথ্য ফাঁস হতে পারে ; ইন্টারেক্টিভভাবে টাইপ করা পাসওয়ার্ডগুলি বিশেষত ঝুঁকির মধ্যে থাকে: সংযোগের শুরুতে এগুলি সনাক্ত করা সহজ, এবং তারা অক্ষর অনুসারে একটি চরিত্র প্রেরণ করা হয়, তাই শ্রবণশক্তিটি কী-স্ট্রোকের মধ্যবর্তী সময় পরিমাপ করতে পারে এবং প্রতিটি পরিমাপ তার জন্য কিছুটা সহজ করে তোলে পাসওয়ার্ড অনুমান করতে ( সহজ মানে সহজ নয় !)। এই দুর্বলতা পাবলিক কী প্রমাণীকরণকে প্রভাবিত করে না, যা সুরক্ষা এবং ব্যবহারযোগ্যতা উভয়েরই জন্য পাসওয়ার্ডের উপর সুপারিশ করা হয়।

— গিলস 'তাই খারাপ হওয়া বন্ধ করুন'
সূত্র

******* অসাধারণ!

— রল্ফ

0

এসএসএইচ এনক্রিপ্ট করা হয়। তবে থাম্বের নিয়মটি হ'ল, এমনকি কঠিন হলেও, আপনার কখনই ধরে নেওয়া উচিত নয় যে কোনও পাবলিক চ্যানেলের মাধ্যমে প্রেরিত কোনও কিছুই শোনানো যাবে না।

আমি একবার এসএসএইচ পাসওয়ার্ড কীভাবে পরিসংখ্যানগত বিশ্লেষণের পক্ষে ঝুঁকির বিষয়ে একটি নিবন্ধে চলেছি - এটি শংসাপত্রগুলি ক্র্যাক করার এক উপায়।

পাসওয়ার্ডগুলি শুকানো যেতে পারে, সম্পর্কিত ক্লিয়ারটেক্সট পাওয়া সহজ নয়।

আপনি অন্যান্য অনুমোদনের কৌশলগুলি যেমন পাবলিক-প্রাইভেট কী কী মাইক্রোসফ্টগুলি পাসওয়ার্ড হিসাবে ভাঙা তত সহজ নয় (যতক্ষণ না আপনি প্রাইমগুলি দ্রুত ফ্যাক্ট করতে পারবেন না) অন্বেষণ করতে পারেন।

— njsg
সূত্র

1

আপনি সম্ভবত " কীস্ট্রোকের টাইমিং অ্যানালাইসিস এবং এসএসএইচে আক্রমণের সময় নির্ধারণের" কথাটি ভেবেছেন গান, ওয়াগনার এবং টিয়ান দ্বারা। পাবলিক কী প্রমাণীকরণ সত্যই দুর্বল নয়।

— গিলস 'অশুভ হওয়া বন্ধ করুন'

ধন্যবাদ! আমি আসলে এটি সম্পর্কে একটি ওয়েবসাইটে পড়েছি (এবং নিবন্ধটি নিজেই নয়) তবে এটি নিবন্ধ এবং "সমস্যা" ছিল, তাই আমি সেই অনুযায়ী আমার উত্তর আপডেট করেছি।

— এনজেএসজি