Adakah yang bisa menjelaskan 'PasswordAuthentication' di file / etc / ssh / sshd_config?

Di halaman ini , penjelasan yang diberikan adalah:

Opsi PasswordAuthentication menentukan apakah kita harus menggunakan otentikasi berbasis kata sandi. Untuk keamanan yang kuat, opsi ini harus selalu disetel ke ya.

Tetapi gagal memberikan skenario kasus penggunaan yang mengklarifikasi kapan Ya atau tidak akan sesuai. Bisakah seseorang menjelaskan lebih lanjut?

Tautan Anda mengarah ke dokumentasi 10 tahun kedaluwarsa.

SSH mendukung berbagai cara untuk mengautentikasi pengguna, yang paling umum adalah dengan meminta login dan kata sandi tetapi Anda juga dapat mengotentikasi login dan kunci publik. Jika Anda mengatur Kata Sandi Kebenaran ke tidak, Anda tidak lagi dapat menggunakan login dan kata sandi untuk mengotentikasi dan harus menggunakan login dan kunci publik sebagai gantinya (jika PubkeyAuthentication diatur ke ya)

Harap dicatat bahwa pengaturan PasswordAuthentication tidak mengontrol SEMUA otentikasi berbasis kata sandi. ChallengeResponseAuthentication biasanya juga meminta kata sandi.

PasswordAuthentication mengontrol dukungan untuk skema otentikasi 'kata sandi' yang didefinisikan dalam RFC-4252 (bagian 8). ChallengeResponseAuthentication mengontrol dukungan untuk skema otentikasi 'keyboard-interaktif' yang didefinisikan dalam RFC-4256. Skema otentikasi 'keyboard-interaktif' dapat, secara teori, menanyakan kepada pengguna sejumlah pertanyaan multi-faceted. Dalam praktiknya sering hanya meminta kata sandi pengguna.

Jika Anda ingin sepenuhnya menonaktifkan otentikasi berbasis kata sandi, atur KEDUA Kata Sandi Kebenaran dan ChallengeResponseAuthentication ke 'tidak'. Jika Anda termasuk orang yang memiliki pola pikir seperti itu, pertimbangkan untuk mengatur UsePAM menjadi 'tidak' juga.

Otentikasi berbasis Kunci Publik / Pribadi (diaktifkan oleh pengaturan PubkeyAuthentication) adalah jenis otentikasi terpisah yang tidak melibatkan pengiriman kata sandi pengguna ke server, tentu saja.

Beberapa berpendapat bahwa menggunakan ChallengeResponseAuthentication lebih aman daripada PasswordAuthentication karena lebih sulit untuk diotomatisasi. Karena itu mereka merekomendasikan membiarkan PasswordAuthentication dinonaktifkan sementara membiarkan ChallengeResponseAuthentication diaktifkan. Konfigurasi ini juga mendorong (tetapi tidak mencegah) penggunaan otentikasi publickey untuk login sistem otomatis. Tetapi, karena SSH adalah protokol berbasis jaringan, server tidak memiliki cara untuk menjamin bahwa respons terhadap ChallengeResponseAuthentication (alias 'keyboard-interactive') sebenarnya disediakan oleh pengguna yang duduk di keyboard selama tantangan selalu ada. dan hanya terdiri dari meminta kata sandi pengguna.

PasswordAuthentication adalah implementasi termudah, karena tidak ada yang bisa dilakukan. Bagian balasannya adalah Anda mengirim kata sandi, melalui koneksi terenkripsi, ke server. Ini bisa menjadi masalah keamanan jika server telah dikompromikan, karena kata sandi kemudian dapat ditangkap.
Dengan kunci publik, kata sandi Anda tidak dikirimkan ke server, kata sandi itu lebih aman tetapi membutuhkan pengaturan lebih lanjut.

Anda dapat mengaturnya untuk tidak saat menggunakan tombol , atau untuk memaksakan penggunaannya.