Il compromesso tra quanto è problematico mantenere l'autenticazione a due fattori o chiave pubblica e il livello di sicurezza che ciascuno fornisce dipende da come / da chi lo sta usando. Se l'utilizzo è limitato a un numero limitato di gestori di sistema del server che hanno familiarità con la sicurezza, in modo che non inquinino i processi consentendo l'accesso al loro accesso (PC, laptop, dispositivo mobile) per essere compromessi, allora uno di questi potrebbe risultare sicuro.
I vari report, articoli e blog che ho letto indicano che il mezzo più frequente per sconfiggere l'autenticazione a due fattori o la crittografia a chiave pubblica sta guadagnando l'accesso ad un accesso non sicuro al client - un PC lasciato acceso o senza protezione password usata per ottenere l'accesso root (o altre aree). Le password possono essere memorizzate sul dispositivo in un gestore di password o automaticamente inserite da un browser Web o annotate su carta in una scrivania.
Un altro mezzo di compromesso è quando le password e le chiavi non vengono cambiate dopo che un dipendente / associato lascia.
La maggior parte della forza bruta, gli attacchi di forza bruta distribuiti e altri attacchi esterni vengono efficacemente ostacolati dai metodi di autenticazione a due fattori o a chiave pubblica. Ciò viene migliorato se si utilizzano password ragionevolmente difficili e si richiede l'accesso con chiave pubblica crittografata con password (una forma di autenticazione a due fattori stessa).
È possibile utilizzare altri metodi, come l'uso di una porta SSH non standard, anche se esiste un argomento valido contro tale metodo. Un altro metodo è l'uso di porte non standard rotanti / casuali o l'uso di Port-knocking in cui tre o più porte devono essere colpite / bussate in sequenza prima che venga concesso l'accesso a un SSH o ad altre porte selezionate. Anche le porte knock-knock possono essere ruotate periodicamente.
Questi ultimi metodi di solito non sono giustificati perché è molto più probabile che si verifichino violazioni della sicurezza all'interno di un'organizzazione che ha implementato metodi di autenticazione a due fattori e / o chiave pubblica. Se la natura del lavoro / dei server richiede i più alti livelli di sicurezza, gli ulteriori livelli di sicurezza potrebbero avere senso.
Ho rivisto il film "The Imitation Game" 2014 ieri sera. Si tratta del cracking della macchina di crittografia nazista Enigma che ha richiesto di determinare tra alcune centinaia di milioni di possibili selezioni manuali. Il codice è stato rotto dalla macchina elettromeccanica di calcolo di Brit Alen Turing solo dopo aver trovato termini ripetuti nelle comunicazioni che potevano essere indovinati "Heil Hitler!" e altri termini nelle relazioni meteorologiche giornaliere. Questo è un modo molto lungo per descrivere la sicurezza dei server Linux e di altri sistemi protetti: sono altrettanto sicuri quanto le pratiche delle persone che li usano.