Nii võtmetel kui ka paroolidel on oma plussid ja miinused. Põhjus, miks "howtos" jms SSH-võtit soovitavad, on see, et nende arvates on nende miinused vähem murettekitavad kui paroolide miinused.

SSH-võtmed on pikad ja keerukad, palju rohkem kui ükski parool võiks olla. Kuid nagu te ütlete, pole neil kehtivusaega ja nad istuvad kettal, kust neid saab varastada. Teiselt poolt ei edastata neid kaugsüsteemi (välja arvatud võtme edastamine, natch), millised paroolid peavad olema.

Paroolid on üldiselt etteaimatavalt vältimatult nõrgad. Ehkki tugevate paroolide olemasolu on võimalik, on ikka ja jälle näidatud, et inimesed kasutavad nõrku paroole ja neil on halb paroolipraktika ... lühikesed, lihtsad, sõnapõhised, lihtsad mustrid ("p @ ssw0rd!"), Kirjutage neid, kasutage neid mitmel saidil, lähtuge nende telefoninumbrist, laste sünnikuupäevast, oma nimest. Juhite tähelepanu sellele, et võtmed ei aegu, kuid miks aeguvad paroolid? Selle tagamiseks, et jõhker rünnak enne parooli asendamist vähem lõhkeks. See ei ole probleem, mis võtmeid mõjutab.

Ja kui halvad paroolid kõrvale jätta, on isegi "head" paroolid õigetes tingimustes toore jõu (võrgu- või võrguühenduseta) suhtes haavatavad. Need tuleb edastada teise süsteemi või mõnda muusse kohta, kus kasutaja võib ekslikult neid saata.

Tõendite kogum viitab tungivalt sellele, et paroolid on nõrgemad ja võtmed on tugevamad.

Paroolidega saadetakse parool serverile, seega on parooli turvalisus seotud sellega, kui hästi server kaitseb kõike, mida ta paroolide kontrollimiseks kasutab (nt fail / etc / shadow ). SSH-võtme kasutamisel jääb teie privaatne võti kliendipoolele ja salajast väärtust ei saadeta kunagi serverisse. Isegi kui server on vaenuliku kontrolli all või kui teid kuidagi võltsserveriga ühendatakse, jääb teie SSH-võti turvaliseks. Võltserver ei saa teie võtme kohta piisavalt teavet selle taastamiseks või mõne MitM-i tegemiseks. Selles mõttes on SSH-võtmed serveripoolsete kompromisside vastu tugevamad kui paroolid.

Teiselt poolt tuleb SSH-võti salvestada kuhugi, arvutisse ja see võib olla haavatavus. Peate oma privaatvõtit kaitsma parooliga; vastasel juhul muutub varastatud sülearvuti konto kompromissiks. Seevastu parooli saab ajusse salvestada ainult , mis muudab selle väidetavalt lekkimise tõenäolisemaks.

Seega võib väita, et SSH-võtmed on "turvalisemad" "kui paroolid, kuid võib väita ka vastupidist. See sõltub kontekstist. Enamik HowTosid võtab seisukoha, et võtmed on paremad, sest juhtub nii, et keskmiselt on inimkasutajatel paroolide kohta kohutavad andmed. Kasutajad valivad nõrgad paroolid ja kasutavad neid uuesti (paroolide taaskasutamine on väga halb).

Kui teie värskenduses saan aru, kas teie paroolides ja võtmetes on sama entroopia kui selle turvalisuse seisukohast on vaieldav. Võiksite öelda, et võtmed on paremad, sest see annaks parema "kasutuskogemuse", kuna te ei kirjuta paroole iga kord.

Ma arvan, et rohkem kui teie algne mõte, arutleme SSH-i hallatavuse üle paroolid vs SSH-võtmed. Jah, paroolidele saab määrata poliitika, mis lubab põhilisi turvameetmeid (IE parooli aegumine, parooliajalugu, parooli maksimaalne pikkus jne), kuid see ei muuda inimese harjumust ega rõõmusta ka kasutajaid, kus turvalisus muutub koormavaks tootmine (Tasakaal organisatsiooni tasandil).

Klahvid pakuvad meetodit teatud entroopia ja juhitavuse säilitamiseks, pakkudes samas ka juurdepääsu meetodit, mis ei koorma kasutajat (kui teie võtmepaari seadistamine saab autentida ilma paroolita, kuni see tühistatakse.)

Lisaks teadke, et võtmeid saab parooliga kaitsta ja pakkuda teist kihti.