Michael Schachtebeck
Hallo,
es wurde auf dieser Liste in verschiedenen Threads schon häufiger über ssh und die Sicherheit von Paßwörtern diskutiert. Es wurde von einigen Diskussionsteilnehmern die Meinung vertreten, daß public-key authentication sicherer ist als ein reiner paßwortgeschützter Login. Dazu die folgende Frage: Wenn ich mich per ssh und public-key authentication auf einem Server anmelde, welcher Rechner prüft das Paßwort für den Key? Macht das mein lokaler Rechner, indem er zunächst das Paßwort prüft und dann den (entschlüsselten?) Key an den Server schickt, oder schickt der Client den (verschlüsselten?) Key an den Server, und der Server prüft (entschlüsselt?) ihn anhand des angegebenen Paßwortes?
Im ersten Fall wäre public-key authentication nämlich u. U. deutlich unsicherer als eine reine Paßwortabfrage des Servers...
Das Passwort interessiert in diesem Fall niemanden. Auf den Hosts auf die du zugreifen möchtest, sollte dein public_key vorliegen. Du prüfst (bzw. der sshd) mit deinem private_key, ob der, von der Gegenstelle, vorgelegte public_key stimmt, darauf wirst du als authentisch verifiziert. -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53