Non è sicuro perché espone la tua password in diversi modi.
- Qualsiasi utente può vederlo nell'output di programmi come
top e ps aux -www . Non è necessario essere root per vedere i tuoi processi.
- Viene registrato nella cronologia della shell, quindi se fai qualcosa di folle come
chmod 777 ~ , chiunque e tutti possono cat ~user/.history e visualizzare la password.
Se si verifica il caso 2, follia darà loro accesso alla chiave privata SSH. Se la tua chiave privata non richiede una password, allora è compromessa. Se richiede una password, non è compromessa (anche se possono tentare di decifrarla).
Supponiamo che l'utente qui non sia sciocco, abbia una buona conoscenza dei file Unix e delle autorizzazioni di file unix, e non eseguirà mai chmod 777 ~ perché l'utente non è un noob.
Chiunque sul sistema può visualizzare l'output PS del tuo comando. Supponiamo che tu stia acquistando web hosting da una piccola e insicura compagnia di web hosting. Forniscono una directory home in chroot su un server condiviso e consentono di accedere al server tramite SSH oltre a SFTP e FTP. Fornire una password nell'URL è una vulnerabilità di sicurezza valida. Le chiavi SSH impediscono completamente questo perché anche se l'utente ha accesso alla macchina non hanno accesso alla tua chiave privata.