Harap dicatat bahwa pengaturan PasswordAuthentication tidak mengontrol SEMUA otentikasi berbasis kata sandi. ChallengeResponseAuthentication biasanya juga meminta kata sandi.
PasswordAuthentication mengontrol dukungan untuk skema otentikasi 'kata sandi' yang didefinisikan dalam RFC-4252 (bagian 8). ChallengeResponseAuthentication mengontrol dukungan untuk skema otentikasi 'keyboard-interaktif' yang didefinisikan dalam RFC-4256. Skema otentikasi 'keyboard-interaktif' dapat, secara teori, menanyakan kepada pengguna sejumlah pertanyaan multi-faceted. Dalam praktiknya sering hanya meminta kata sandi pengguna.
Jika Anda ingin sepenuhnya menonaktifkan otentikasi berbasis kata sandi, atur KEDUA Kata Sandi Kebenaran dan ChallengeResponseAuthentication ke 'tidak'. Jika Anda termasuk orang yang memiliki pola pikir seperti itu, pertimbangkan untuk mengatur UsePAM menjadi 'tidak' juga.
Otentikasi berbasis Kunci Publik / Pribadi (diaktifkan oleh pengaturan PubkeyAuthentication) adalah jenis otentikasi terpisah yang tidak melibatkan pengiriman kata sandi pengguna ke server, tentu saja.
Beberapa berpendapat bahwa menggunakan ChallengeResponseAuthentication lebih aman daripada PasswordAuthentication karena lebih sulit untuk diotomatisasi. Karena itu mereka merekomendasikan membiarkan PasswordAuthentication dinonaktifkan sementara membiarkan ChallengeResponseAuthentication diaktifkan. Konfigurasi ini juga mendorong (tetapi tidak mencegah) penggunaan otentikasi publickey untuk login sistem otomatis. Tetapi, karena SSH adalah protokol berbasis jaringan, server tidak memiliki cara untuk menjamin bahwa respons terhadap ChallengeResponseAuthentication (alias 'keyboard-interactive') sebenarnya disediakan oleh pengguna yang duduk di keyboard selama tantangan selalu ada. dan hanya terdiri dari meminta kata sandi pengguna.