デフォルト(私の場合のみ)SSHキーのパスワードを毎日使用しているコンピュータのユーザーログインパスワードと同じように使用するのは安全ですか?私がこのコンピュータの唯一のユーザーだとしましょう。潜在的なセキュリティリスクは何ですか?
ベストアンサー1
一般的に言えば、同じドメイン内(同じグループで管理されているコンピュータまたはサービス間)で同じパスワードを使用しない限り、パスワードを再利用することはお勧めできません。アクセスできます。
マシンAのアカウントパスワードはマシンAで使用され、マシンAへのアクセスを制御します。マシンAのSSH秘密鍵のパスワードはマシンAで使用され、他のマシンへのアクセスを制御します。両方のシステムで同じパスワードを使用し、そのパスワードが破損すると、システムAと他のシステムのセキュリティが損なわれます。したがって、パスワードを共有することはセキュリティに有害です。
マシンAのアカウントパスワードはマシンAで使用され、マシンAへのアクセスを制御します。マシンBのSSH秘密鍵のパスワードはマシンBで使用され、マシンAへのアクセスを制御します。 2台のコンピュータで同じパスワードを使用すると、AまたはBから漏洩する可能性があります。したがって、パスワードを共有することはセキュリティに有害です。
バックアップを介してもパスワードが漏洩する可能性があります。たとえば、ホームディレクトリのバックアップが破損した場合(または誤ってGithubに秘密鍵ファイルをアップロードした場合(最初のものではない))、攻撃者はその鍵ファイルにアクセスする可能性があります。OpenSSH秘密鍵ファイル形式は、パスワードの無差別攻撃に対して脆弱です。。 OpenSSH 6.5以降、新しい形式がありますssh-keygen -o
。遅いハッシュの正しい使用しかし、OpenSSH 7.7以降ではデフォルトでは使用されません。そのため、攻撃者が鍵ファイルにアクセスすると、パスワードを調べて重大な危険にさらされ、鍵を使用して鍵なしでログインできるようになります。遅いハッシュを使用してもパスワードが弱すぎると、キーファイルを持つ攻撃者はオフラインでパスワードを復号化できます(つまり、使用する電力量によってのみ制限されます)。
このため、SSHキーとユーザーアカウントに同じパスワードを使用しないでください。鍵ファイルを保護したいが、別のパスワードを覚えたくない場合は、覚えやすいパスワードを使用することをお勧めします。キーチェーンに保管してください(これGNOMEキーホルダー遅いハッシュを使用します)。 ²
1Githubでは、メインファイルを直接アップロードできなくなったようです。
²そしてキーリングのバックアップを漏らさないように注意してください。ただし、人々は設定ファイル(たとえば、および)を含むディレクトリをバックアップする傾向があるため、実際にはSSHよりも問題が少なくなります。.ssh
config
authorized_keys