Können SSH-Passwörter über WLAN abgerufen werden?

15

Wenn Sie sshdas Kennwort eingeben, um eine Verbindung herzustellen, können Sie es abfangen, wenn Sie nicht vertrauenswürdiges öffentliches WLAN (Café, Bibliothek, Flughafen usw.) verwenden.

pp31
quelle

Antworten:

8

Sie können zwar Pakete in einem öffentlichen Wi-Fi-Netzwerk aufzeichnen, aber wenn Sie SSH verwenden und Ihre Passwörter nicht im Klartext gesendet werden, ist die Entschlüsselung der aufzuzeichnenden Daten sehr aufwändig.

Karlson
quelle
Wenn Sie also ssh verwenden, ist das eingegebene Passwort standardmäßig verschlüsselt?
31,
3
Die Kommunikation erfolgt über einen verschlüsselten Kanal.
Karlson,
1
SSH hat nicht einmal die Option, Kennwörter im Klartext zu senden. Anders als zum Beispiel TLS / SSL. Diese "Funktion" von TLS ermöglicht eine Klartextsitzung, obwohl beide Seiten Krypto unterstützen: Eine Seite unterstützt die Chiffresuiten A, B und N (N = Null-Chiffrierung), die andere unterstützt C, D und N, sodass beide Seiten am Ende sind Die Entscheidung für N. TLS hat andere bekannte Schwachstellen , was darauf hindeutet, dass SSH möglicherweise nicht vor ähnlichen Fehlern gefeit ist. Mein bester Rat: Gürtel & Hosenträger .
Warren Young
6

SSH kann in einem nicht vertrauenswürdigen Netzwerk verwendet werden. Wifi, kabelgebunden, egal: SSH geht davon aus, dass der gesamte Datenverkehr von einem Angreifer überwacht werden kann und dass der Angreifer versucht, Pakete abzufangen und durch andere zu ersetzen.

Wenn Sie ssh zum ersten Mal von einem bestimmten Client auf einen bestimmten Server ausführen, werden Sie von ssh gefragt

The authenticity of host 'example.com (192.0.2.42)' can't be established.
RSA key fingerprint is 01:23:45:67:89:ab:cd:ef:01:23:45:67:89:ab:cd:ef.
Are you sure you want to continue connecting (yes/no)? 

Zu diesem Zeitpunkt müssen Sie überprüfen, ob die Identität des Remoteservers (angegeben durch den Schlüsselfingerabdruck) die erwartete ist. Ein Angreifer könnte versuchen, als Server zu fungieren. Sobald diese Überprüfung durchgeführt wurde und für jede nachfolgende Verbindung von diesem Client zu diesem Server, können Sie darauf vertrauen, dass die Kommunikation nicht von Abhörern überwacht werden kann und zuverlässig ist (da die von Ihnen eingegebenen Befehle wirklich an den Server gehen und die Antworten wirklich sind) diejenigen, die der Server gesendet hat).

Lauschangriffshelfer können die Daten in der SSH-Sitzung nicht abrufen, aber sie können das Verkehrsaufkommen sowie das Timing beobachten. Hierdurch können vertrauliche Daten verloren gehen . Interaktiv eingegebene Passwörter sind besonders gefährdet: Sie sind zu Beginn der Verbindung leicht zu erkennen und werden Zeichen für Zeichen gesendet, sodass der Lauscher die Zeit zwischen den Tastenanschlägen messen kann. Jede Maßnahme macht es ein wenig einfacher für sie das Passwort zu erraten ( einfacher heißt nicht einfach !). Diese Schwachstelle wirkt sich nicht auf die Authentifizierung mit öffentlichen Schlüsseln aus, die aus Sicherheits- und Benutzerfreundlichkeitsgründen gegenüber Kennwörtern empfohlen wird.

Gilles 'SO - hör auf böse zu sein'
quelle
******* genial!
Rolf
0

SSH ist verschlüsselt. Als Faustregel gilt jedoch, dass Sie, auch wenn dies schwierig ist, niemals davon ausgehen sollten, dass etwas, das über einen öffentlichen Kanal gesendet wird, nicht abgehört werden kann.

Ich habe einmal einen Artikel darüber gelesen, wie SSH-Passwörter für statistische Analysen anfällig sind - auf diese Weise können Sie die Anmeldeinformationen knacken.

Die Passwörter können abgehört werden, es ist einfach nicht einfach, den entsprechenden Klartext zu erhalten.

Sie können auch andere Authentifizierungsstrategien untersuchen, z. B. öffentlich-private Schlüsselpaare, die möglicherweise nicht so einfach zu knacken sind wie Kennwörter (sofern Sie Primzahlen nicht schnell berücksichtigen können).

njsg
quelle
1
Sie denken wahrscheinlich an „ Timing-Analyse von Tastenanschlägen und Timing-Angriffen auf SSH “ von Song, Wagner und Tian. Die Authentifizierung mit öffentlichen Schlüsseln ist in der Tat nicht anfällig.
Gilles 'SO- hör auf böse zu sein'
Vielen Dank! Ich habe es tatsächlich auf einer Website gelesen (und nicht im Artikel selbst), aber das war der Artikel und das "Problem", also habe ich meine Antwort entsprechend aktualisiert.
njsg