در زمینه ssh ، "اعتبارنامه" می تواند دو معنی داشته باشد.
گذرواژه Cleartext
درست است ، ثبت نام رمزعبور cleartext به عنوان cleartext ، یعنی بدون هیچ گونه رمزگذاری یا همان ، حداقل یک عمل بد است. نمای امنیتی با این حال ، رمزگذاری صحیح به سادگی غیرممکن است: Putty به نوعی باید برای تأیید اعتبار با سرور از راه دور به آنها دسترسی داشته باشد. برای انجام این کار ، نیاز به رمزگشایی آن است. فرقی نمی کند ، چگونه انجام می شود ، همین کار را می توان توسط یک مهاجم بالقوه نیز انجام داد. رمزگذاری رمز عبور می تواند از طریق امنیت مبهم باشد ، بنابراین از مزایای امنیتی چندانی برخوردار نیست. ، همانطور که در وهله اول به نظر می رسد.
جفت کلید عمومی / خصوصی
کلید عمومی می تواند به هر نقطه ارسال شود ، خصوصی باید مخفی شود. برای کلید خصوصی ، پرونده در این زمینه یکسان است ، همانطور که برای رمز عبور: اگر کسی بتواند کلید خصوصی را بخواند ، می تواند فرآیند Putty را نیز دستکاری کند تا آن را برای وی استخراج کند.
مهمترین چیزی که باید بداند: به دریافت گواهینامه ، نیاز به دسترسی به دستگاه مشتری (یا به عنوان حساب کاربری یا حساب کاربری به کاربر) دارد. با استفاده از این دسترسی ، حتی یک رمزعبور رمزگذاری شده نیز می تواند استراق سمع شود ، به عنوان مثال با استفاده از یک keylogger یا هک کردن باینری فرآیند Putty شما.
این یک ضعف امنیتی ذاتی برای کلمه عبور یا سیستم تأیید اعتبار مبتنی بر کلید است. تنها راه حل برای آن ، در صورتی که احراز هویت در کانال دیگری اتفاق بیفتد ، توسط یک سیستم متفاوت ، که اتصال از آن آغاز شده است. راه حل های مختلف برای این ، احراز هویت چند عاملی یا Kerberos است. اکثر نرم افزار ssh (از جمله putty و openshoot) از دوم پشتیبانی می کند ، اگرچه در تمرین روزانه بندرت مورد استفاده قرار می گیرد.
تمرین روزانه این است که اجازه دسترسی فیزیکی به کسی را به دستگاه مشتری شما ندهد. اگر به آنها دسترسی داشته باشید ، آنها فقط می توانند به کلیدها و کلمات عبور ssh شما دسترسی پیدا کنند.
