Чем ключ отличается от пароля?

Question

[Сергей Пуговкин]

В одной статье по безопасности SSH встретил такой текст:

Если вы еще пользуетесь SSH доступом по паролю, срочно меняйте привычку. Это опасно. Лучше использовать доступ по ключу.

Посмотрел содержимое своего приватного ключа - там несколько строк, в общей сложности примерно 1000 символов. А если использовать пароль из 1000 символов? Уровень безопасности сравнится?

Answer 1

[xmoonlight]

Уровень безопасности сравнится?

Нет и никогда.
Ключ - это генерируемый однократно на стороне сервера (публичный) и не передаваемый параметр при авторизации (приватный) в отличии от пароля (или его хеша).
Публичный может обмениваться на приватный (иногда, называют токеном), который сохраняется на клиенте и с помощью него подписываются все последующие запросы к серверу. У приватного - всегда есть "срок" жизни по истечению которого он должен быть перевыписан.

Answer 2

[xotkot]

Это опасно.

Здесь скорее всего имеется в виду не опасность взлома ключа, а опасность его утечки.
При использовании одного ключа(доступ по паролю) чтобы открыть зашифрованный канал ssh необходимо этот ключ для начала отправить получателю по не зашифрованному каналу. Его могут перехватить и тогда система будет скомпрометирована.
А вот при использовании открытого(2) и закрытого(2) ключей, перехватить можно только открытые ключи которые используются для зашифровки сообщений, то есть "злоумышленник" сможет только писать но не читать.

Comments

[Sanes]

С паролем тоже самое.

[xotkot]

Sanes: что именно ?

[Sanes]

majetree: пароль шифруется

[xotkot]

Sanes: кем и когда ?

[Sanes]

majetree: Приложением шифруется по аналогии с закрытым ключом. Перехват пароля можно избежать, если использовать безопасные протоколы. SSH, FTPS, HTTPS и т.п.

[xotkot]

Sanes: речь идёт о том как создать безопасный(зашифрованный) канал связи внутри небезопасного(или потенциально небезопасного) для вас канала. Ведь если вы доверяете внешнему каналу(что готовы через него передать пароль) то и "шифроваться" нету смысла, ведь так ?
Весь смысл использования асимметричного шифрования(открытый и закрытый ключ) в том что вы не доверяете внешней среде через которую происходит общение, то есть потенциальный "противник" имеет к ней полный доступ (например может без проблем читать весь HTTPS трафик и расшифровывать его).

Answer 3

[Sanes]

В современном мире мало отличий. Ключ расшифровки пароля у вас на сервере и он уникальный.

Answer 4

[Марат Мхитарян]

Изучите шо такое RSA, и все поймете!