SSH: Ist das Passwort bei der Anmeldung im Klartext / Sniffable? [geschlossen]

7

Ich verstehe, dass diese Frage subjektiv ist.

Ich bin neugierig auf die Verständlichkeit eines SSH-Passworts, wenn ein SSH-Tunnel erstellt wird. Wird die sichere Sitzung gestartet, nachdem das Kennwort authentifiziert wurde, oder ist das Kennwort selbst in dieser sicheren Verbindung gekapselt?

Nach einer interessanten Debatte im Büro heute morgen und abgesehen von der Möglichkeit, dass ein SSH-Passwort auf einem Client mit einem Keylogger kompromittiert wird, bin ich neugierig auf die Möglichkeit, dass ein SSH-Passwort auch durch Packet-Sniffing-Tools kompromittiert werden könnte im LAN oder auf einem Proxy zwischen dem Client und dem Server installiert. Es hat eine breitere Debatte über die Klugheit des Einloggens in private Dienste (wie ein Heim-NAS oder eine E-Mail) über einen SSH-Tunnel eröffnet, während es bei einem Client angemeldet ist, der hinter einem / mehreren Zwischenproxy / -en agiert. (dh bei der Arbeit), insbesondere mit der Behauptung, Tools wie Ettercap könnten SSH-Pakete ausspionieren.

Ich nehme an, dass die gleichen Überlegungen für SSL / HTTPS gemacht werden könnten, wo eine Website das Passwort nicht in einen Einweg-Hash wie MD5 parst?

Ihre Gedanken werden am meisten geschätzt.

Danke.

    
8bitjunkie 05.07.2011, 10:08
quelle

2 Antworten

15

Auszug aus der Manpage von openssh:

  

Wenn andere Authentifizierungsmethoden fehlschlagen, fordert ssh den Benutzer auf,   Wort. Das Passwort wird zum Überprüfen an den Remote-Host gesendet. jedoch seit alle   die Kommunikation ist verschlüsselt, das Passwort kann von niemandem gesehen werden   das Netzwerk.

    
Peder Klingenberg 05.07.2011, 10:13
quelle
5

SSH heißt nicht ohne Grund "Secure Shell":).

SSH verwendet die Kryptographie mit öffentlichem Schlüssel für die Authentifizierung, die an sich sehr sicher ist. Wenn wir davon ausgehen, dass der Angreifer nicht die privaten Schlüssel des Benutzers und des SSH-Daemons hat, kann das Passwort nicht durch bloßes Abhören im Netzwerk entschlüsselt werden.

Dieses Protokoll schützt Sie ebenso wie die meisten anderen nicht vor Angriffen von anderen Seiten. Es gibt mehrere Kombinationen von Social Engineering und Man in der Mitte Angriffe wie der SSH-Version Downgrade-Angriff und der DNS-Spoofing-Angriff .

    
Liudmil Mitev 05.07.2011 10:34
quelle

Tags und Links