SSH: Lors de la connexion, le mot de passe en texte brut / sniffable?

Je me rends compte que cette question est subjective.

Je suis curieux de savoir le intelligability d'un mot de passe SSH quand un tunnel SSH est créé. La session sécurisée commencer une fois le mot de passe a authentifié, ou est le mot de passe lui-même encapsulé dans l'établissement de cette connexion?

Après un débat intéressant dans le bureau ce matin, et en dehors de la possibilité d'un mot de passe SSH compromis sur un client avec un keylogger, je suis curieux quant à la possibilité qu'un mot de passe SSH pourrait également être compromise à l'aide de reniflage de paquets outils sur le réseau local, ou installé sur n'importe quel proxy entre le Client et le Serveur. Ça ouvre un débat plus large sur les sagesses de l'exploitation forestière dans les services privés (comme un NAS à la maison, ou e-mail) via un tunnel SSH tout en étant connecté sur un client derrière un/plusieurs proxy intermédiaire/s). (c'est à dire, au travail), en particulier avec les revendications que des outils tels que Ettercap sont capables de faire de l'espionnage dans les paquets SSH.

Je suppose que les mêmes considérations peuvent être faites de SSL/HTTPS où un site web n'analyse pas le mot de passe en un one-way hash comme MD5?

Vos réflexions seront les plus appréciés.

Grâce.

  • Ce n'est pas une question de programmation.
  • Concernant le HTTPS, il y a des questions similaires: stackoverflow.com/questions/3911906/encrypting-http-post-data/... et stackoverflow.com/questions/3837989/.... L'ensemble de la demande est envoyée sur SSL/TLS (y compris le chemin de demande, les en-têtes et le corps). La transmission du mot de passe est protégé, même lorsqu'il est envoyé en clair (par l'intermédiaire d'un formulaire ou à l'adresse HTTP de Base).
  • Je me dois de préciser ce que je viens de dire: "La transmission du mot de passe est protégé, même lorsqu'il est envoyé en clair", je veux dire par là, même lorsque le mot de passe n'est pas crypté à la couche application (HTTP Basic auth est juste un mode de codage, et les mots de passe tapés dans les formulaires sont envoyés tels quels dans le formulaire de données). C'est effectivement pas été envoyé en clair, précisément parce que tout est fait sur SSL/TLS (comme d'habitude, le cas échéant suites de chiffrement sont utilisés).
InformationsquelleAutor 8bitjunkie | 2011-07-05