Home 零对冲(ZeroHedge)每日HackerNews

用户会验证SSH密钥吗? (2011) [pdf]
Do Users Verify SSH Keys? (2011) [pdf]

原始链接: https://www.usenix.org/system/files/login/articles/105484-Gutmann.pdf

这似乎是PDF文件的一部分,包含编码数据。直接翻译这些数据没有意义,因为它不是人类可读的文本。它是由PDF阅读器解码后才能显示为文本、图像或其他内容。

## 用户会验证 SSH 密钥吗? - Hacker News 讨论总结 最近 Hacker News 的讨论,源于一篇 2011 年的 USENIX 论文,质疑用户是否真的会验证 SSH 主机密钥。结论是:**通常不会。** 虽然从技术上来说这是可能的,并且对安全性至关重要,但由于用户体验障碍和感知到的低风险,验证很少被实践。 许多评论者分享了组织处理 SSH 密钥验证的经验,用于关键传输(如工资单),通常在失败时自动重试。 还有人强调了即使使用 DNS 欺骗,复杂的中间人攻击的可能性,以及安全带外密钥验证的难度。 有人提出了 SSH 证书(由受信任的 CA 签名)和改进的工具(例如由前一个密钥签名的自动密钥更新)等替代方案,但它们面临复杂性和用户采用方面的挑战。 许多人认为用户难以理解底层的密码学,并且很容易被这个过程压倒。 最终,讨论指出了一个根本的矛盾:SSH 的安全性依赖于用户的勤奋,但这个过程对于大多数人来说过于繁琐,无法持续遵循。 虽然“天空没有塌下来”,但缺乏验证会使系统容易受到攻击。
相关文章
原文
%PDF-1.6 % 102 0 obj > endobj 129 0 obj >/Filter/FlateDecode/ID[]/Index[102 45]/Info 101 0 R/Length 116/Prev 75322/Root 103 0 R/Size 147/Type/XRef/W[1 2 1]>>stream hbbd``b`$@,Q$8X&@9:$X@\u"4A*H +2@Bl?"@,'E@#f# U$\YT"3` pg endstream endobj startxref 0 %%EOF 146 0 obj >stream hb```f``*g`e`
联系我们 contact @ memedata.com