Mi sono imbattuto in questo vecchio documento, discutendo sulla possibilità di divulgare informazioni sulla lunghezza della password quando si utilizza SSH: Analisi dei tempi delle sequenze di tasti e degli attacchi a tempo su SSH . Il documento è stato discusso qui prima .
Questo mi ha fatto meravigliare: l'inserimento delle password su SSH dovrebbe essere generalmente evitato? In questo caso, non sarebbe preferibile connettersi come utente privilegiato (utilizzando una chiave SSH) piuttosto che connettersi come utente non privilegiato e successivamente sudo nell'account root? Usando il metodo precedente, non verrebbe trasferita alcuna password, mentre con quest'ultimo potrebbe essere possibile indovinare la password. Anche se ssh è configurato per consentire solo il login senza password, questo potrebbe essere usato per leggere / inviare mail o accedere a qualsiasi altro servizio disponibile all'utente.
Questo ragionamento suona? Ho avuto una premessa sbagliata da qualche parte?