Normalmente senti che usare una chiave SSH è molto più sicuro che usare una normale password. Comunque mi sono chiesto se questa affermazione è vera.
Supponiamo di avere le seguenti variabili per questo esempio:
- Il server SSH è accessibile pubblicamente
- Il server SSH ha fail2ban e perma-ban qualsiasi IP che tenta di ssh di root o fallisce più di 3 volte.
- Gli utenti dispongono di crittografia completa del disco su tutti i dispositivi che utilizzano SSH
- Il server SSH richiede l'autenticazione a due fattori da un'autenticazione su un dispositivo Android con FDE
- Gli utenti utilizzano complesse password di 48 caratteri per FDE (ad esempio: YUba3KR06 / 62.Dzq! 955513s0k2m123; sF32a60G6n2PYu0Z8_vv8u) con la garanzia di non scriverle
Quale dei seguenti sarebbe davvero più sicuro?
- Gli utenti usano password memorizzate (non scritte) per SSH. Tutte le password sarebbero complesse con 16 caratteri (ad esempio: S_s7vEn93z0! .Lid)
- Gli utenti utilizzano le chiavi SSH Passowrdless