Trên trang này , lời giải thích được đưa ra là:
Tùy chọn PasswordAuthentication chỉ định xem chúng ta có nên sử dụng xác thực dựa trên mật khẩu hay không. Để bảo mật mạnh, tùy chọn này phải luôn được đặt thành có.
Nhưng nó không cung cấp bất kỳ tình huống sử dụng nào làm rõ khi nào có hoặc không phù hợp. Ai đó có thể xin vui lòng giải thích thêm?
Câu trả lời:
Liên kết của bạn chỉ đến tài liệu 10 năm lỗi thời.
SSH hỗ trợ nhiều cách để xác thực người dùng, cách phổ biến nhất là yêu cầu đăng nhập và mật khẩu nhưng bạn cũng có thể xác thực người dùng đăng nhập và khóa chung. Nếu bạn đặt Mật khẩu xác thực thành không, bạn sẽ không còn có thể sử dụng thông tin đăng nhập và mật khẩu để xác thực và phải sử dụng khóa đăng nhập và khóa chung thay thế (nếu PubkeyAuthentication được đặt thành có)
Xin lưu ý rằng cài đặt Mật khẩu xác thực không kiểm soát TẤT CẢ xác thực dựa trên mật khẩu. ChallengeResponseAuthentication cũng thường yêu cầu mật khẩu.
Kiểm soát mật khẩu hỗ trợ cho sơ đồ xác thực 'mật khẩu' được xác định trong RFC-4252 (phần 8). Các điều khiển ChallengeResponseAuthentication hỗ trợ cho sơ đồ xác thực 'tương tác bàn phím' được xác định trong RFC-4256. Về mặt lý thuyết, sơ đồ xác thực 'tương tác bàn phím' có thể hỏi người dùng bất kỳ số lượng câu hỏi đa khía cạnh nào. Trong thực tế, nó thường chỉ hỏi mật khẩu của người dùng.
Nếu bạn muốn vô hiệu hóa hoàn toàn xác thực dựa trên mật khẩu, hãy đặt CẢ HAI Mật khẩu xác thực và Thử thách phản hồi thành 'không'. Nếu bạn là người có suy nghĩ về vành đai và nghi ngờ, hãy cân nhắc cài đặt UsePAM thành 'không'.
Tất nhiên, xác thực dựa trên khóa công khai / riêng tư (được bật bởi cài đặt PubkeyAuthentication) là một loại xác thực riêng biệt không liên quan đến việc gửi mật khẩu người dùng đến máy chủ, tất nhiên.
Một số người sẽ lập luận rằng việc sử dụng ChallengeResponseAuthentication an toàn hơn so với PasswordAuthentication vì khó tự động hóa hơn. Do đó, họ khuyên bạn nên tắt PasswordAuthentication trong khi bật ChallengeResponseAuthentication. Cấu hình này cũng khuyến khích (nhưng không nhất thiết ngăn chặn) sử dụng xác thực khóa công khai cho bất kỳ thông tin đăng nhập hệ thống tự động nào. Nhưng, vì SSH là giao thức dựa trên mạng, nên máy chủ không có cách nào để đảm bảo rằng các phản hồi đối với ChallengeResponseAuthentication (còn gọi là 'tương tác bàn phím') thực sự được cung cấp bởi người dùng ngồi trên bàn phím miễn là luôn luôn có thách thức và chỉ bao gồm yêu cầu người dùng cho mật khẩu của cô ấy.
UsePAM...
PasswordAuthentication là cách thực hiện dễ dàng nhất, vì không có gì để làm. Phần truy cập là bạn gửi mật khẩu của mình qua kết nối được mã hóa đến máy chủ. Đây có thể là một vấn đề bảo mật nếu máy chủ đã bị xâm phạm, vì mật khẩu sau đó có thể bị bắt.
Với khóa chung, mật khẩu của bạn không được truyền đến máy chủ, nó an toàn hơn nhưng cần thiết lập nhiều hơn.
Bạn có thể đặt thành không khi sử dụng các phím hoặc để sử dụng chúng.