Xin lưu ý rằng cài đặt Mật khẩu xác thực không kiểm soát TẤT CẢ xác thực dựa trên mật khẩu. ChallengeResponseAuthentication cũng thường yêu cầu mật khẩu.
Kiểm soát mật khẩu hỗ trợ cho sơ đồ xác thực 'mật khẩu' được xác định trong RFC-4252 (phần 8). Các điều khiển ChallengeResponseAuthentication hỗ trợ cho sơ đồ xác thực 'tương tác bàn phím' được xác định trong RFC-4256. Về mặt lý thuyết, sơ đồ xác thực 'tương tác bàn phím' có thể hỏi người dùng bất kỳ số lượng câu hỏi đa khía cạnh nào. Trong thực tế, nó thường chỉ hỏi mật khẩu của người dùng.
Nếu bạn muốn vô hiệu hóa hoàn toàn xác thực dựa trên mật khẩu, hãy đặt CẢ HAI Mật khẩu xác thực và Thử thách phản hồi thành 'không'. Nếu bạn là người có suy nghĩ về vành đai và nghi ngờ, hãy cân nhắc cài đặt UsePAM thành 'không'.
Tất nhiên, xác thực dựa trên khóa công khai / riêng tư (được bật bởi cài đặt PubkeyAuthentication) là một loại xác thực riêng biệt không liên quan đến việc gửi mật khẩu người dùng đến máy chủ, tất nhiên.
Một số người sẽ lập luận rằng việc sử dụng ChallengeResponseAuthentication an toàn hơn so với PasswordAuthentication vì khó tự động hóa hơn. Do đó, họ khuyên bạn nên tắt PasswordAuthentication trong khi bật ChallengeResponseAuthentication. Cấu hình này cũng khuyến khích (nhưng không nhất thiết ngăn chặn) sử dụng xác thực khóa công khai cho bất kỳ thông tin đăng nhập hệ thống tự động nào. Nhưng, vì SSH là giao thức dựa trên mạng, nên máy chủ không có cách nào để đảm bảo rằng các phản hồi đối với ChallengeResponseAuthentication (còn gọi là 'tương tác bàn phím') thực sự được cung cấp bởi người dùng ngồi trên bàn phím miễn là luôn luôn có thách thức và chỉ bao gồm yêu cầu người dùng cho mật khẩu của cô ấy.