
<div dir="ltr">Hello,<div><br></div><div>I agree with Aaron.  Password authentication permit open the risk to brute force.</div><div>Key authentication could be difficult to handle.</div><div><br></div><div>If a good password policy is in place (long and difficult passwords), it's reasonable to state that password authentication is safe.</div>


<div><br></div><div>The problem is the usual one: the human.  But somehow, risk is the same with private keys and passwords.  If not kept secure, you are at risk ;-).</div><div><br></div><div>(My personal preference is to forbid password and rely on well protected private key ;-)).</div>


<div><br></div><div>Kr,</div><div><br></div><div>David</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">2014/1/6 Peter van Dijk <span dir="ltr"><<a href="mailto:peter@7bits.nl" target="_blank">peter@7bits.nl</a>></span><br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Lorenz,<br>

<br>

as a point of interest, please realise that an administrator has no way to enforce pass phrases on private keys!<br>

<br>

Cheers, Peter<br>

<div class="HOEnZb"><div class="h5"><br>

On 06 Jan 2014, at 18:02 , Lorenz Intichar <<a href="mailto:lorenz@intichar.at">lorenz@intichar.at</a>> wrote:<br>

<br>

> Hi Aaron,<br>

><br>

> just as a matter of interest: What security-wise disadvantages do you see<br>

> in ssh pubkey authentication, especially with a private key password set?<br>

><br>

> A big advantage is (of course) that password-guessing is impossible with<br>

> just pubkey, a disadvantage is that the right private key has to present<br>

> wherever the operator is, possibly on unsafe devices like smartphones. But<br>

> that issue is (hopefully) sufficiently addressed by password-protecting<br>

> the private key?<br>

><br>

> Best regards,<br>

> Lorenz<br>

><br>

><br>

>> Hi,<br>

>><br>

>> Axel Hübl wrote:<br>

>>> Hi Lorenz,<br>

>>><br>

>>> I think promoting<br>

>>>> PasswordAuthentication no<br>

>>><br>

>>> is a good thing and worth to be added, too.<br>

>> I disagree. That's for administrators to decide if they want to use<br>

>> public key authentication or password auth. Both have advantages and<br>

>> disadvantages (security-wise and operational).<br>

>><br>

>> Aaron<br>

>><br>

>> _______________________________________________<br>

>> Ach mailing list<br>

>> <a href="mailto:Ach@lists.cert.at">Ach@lists.cert.at</a><br>

>> <a href="http://lists.cert.at/cgi-bin/mailman/listinfo/ach" target="_blank">http://lists.cert.at/cgi-bin/mailman/listinfo/ach</a><br>

>><br>

><br>

><br>

> _______________________________________________<br>

> Ach mailing list<br>

> <a href="mailto:Ach@lists.cert.at">Ach@lists.cert.at</a><br>

> <a href="http://lists.cert.at/cgi-bin/mailman/listinfo/ach" target="_blank">http://lists.cert.at/cgi-bin/mailman/listinfo/ach</a><br>

<br>

</div></div><br>_______________________________________________<br>

Ach mailing list<br>

<a href="mailto:Ach@lists.cert.at">Ach@lists.cert.at</a><br>

<a href="http://lists.cert.at/cgi-bin/mailman/listinfo/ach" target="_blank">http://lists.cert.at/cgi-bin/mailman/listinfo/ach</a><br>

<br></blockquote></div><br><br clear="all"><div><br></div>-- <br>David DURVAUX

</div>