Re: À propos de ssh
Vincent Lefevre, dimanche 12 avril 2009, 01:45:57 CEST
>
> On 2009-04-10 16:48:04 +0200, Sylvain Sauvage wrote:
>[…]
> > D’après ce que j’en sais, oui.
> > Après vérification rapide du code, le mot de passe est lu et
> > placé tel quel dans le paquet à envoyer (chiffré).
>
> D'ailleurs il est bien connu qu'un des trous de sécurité de telnet
> était l'envoi du mot de passe en clair.
Vois pas le rapport. Dans ssh, le mot de passe est en clair
mais dans le tunnel chiffré. Il me semble logique que le mot de
passe soit donné au serveur pour qu’il puisse authentifier.
Dans telnet, la connexion n’est pas chiffrée, donc le problème,
c’est un petit malin qui se placerait au milieu pour regarder ce
qui passe dans le tuyau.
Notons aussi que lors d’un login sur une machine, le mot de
passe est en clair, hein ; il est tapé au clavier. La machine le
connait donc bien aussi et si un méchant a remplacé le programme
login, on n’est au même point que si un méchant remplace le
programme sshd pour choper les mots de passe. La seule
différence, c’est que le fait que l’accès à la machine par
l’utilisateur soit physique permet plus facilement à cet
utilisateur de se rendre compte qu’il se trompe de machine…
> Maintenant c'est peut-être une des raisons pour lesquelles le système
> d'authentification RSA est plus sûr.
Sûr, vu que les clefs privées restent privées.
--
Sylvain Sauvage
Reply to: