Một passphrase giống như một password. Tuy nhiên, một password nói chung liên quan một thứ gì đó được sử dụng nhằm xác thực hoặc đăng nhập vào hệ thống. Một password nói chung liên quan một bí mật được sử dụng để bảo vệ một mã hóa key. Thông thường, một key mã hóa thực sự được suy ra từ passphrase và sử dụng để mã hóa tài nguyên được bảo vệ.
Trang 1SSH passphrase
Một passphrase giống như một password Tuy nhiên, một password nói chung liên quan một thứ gì đó được sử dụng nhằm xác thực hoặc đăng nhập vào hệ thống Một password nói chung liên quan một bí mật được sử dụng để bảo vệ một mã hóa key Thông thường, một key mã hóa thực sự được suy ra từ passphrase và sử dụng để mã hóa tài nguyên được bảo vệ
Nó nên là kí tự khó đoán
Một passphrase tốt nên có ít nhất 15 kí tự, tốt nhất là 20 kí tự và khó có thể đoán được
Nó nên bao gồm kí tự thường, kí tự hoa, số và tốt nhất là có ít nhất một dấu chấm Không phần nào của passphrase nên phát sinh từ thông tin cá nhân của người dùng hoăc gia đình của họ
Thỉnh thoảng cần tạo mật khẩu và passphrase một cách random tự động Chúng ta còn gợi ý một tạo ra một password/ passphrase an toàn dựa trên trình duyệt
Bảo vệ một khóa cá nhân
Mục đích của passphrase là thường xuyên mã hóa private key Điều này tạo ra key file bởi chính nó vô dụng với attacker Nó thì không thông dụng cho các file bị rò rỉ từ backups hoặc phần cứng không dùng tới và hacker thông thường tìm kiếm các file từ hệ thống bị xâm nhập
Để sử dụng key mã hóa, passphrase vẫn cần thiết Một cách khác chúng có 2 yếu tố tách rời của quá trình xác thực
Bảo vệ SSH keys
SSH key được sử dụng để xác thực người dùng trong hệ thống thông tin SSh key chính
là 1 private key, private key tiếp tục được mã hóa sử dụng mã hóa đối xứng được suy ra
từ một passphrase Sự bắt nguồn của key là sử dụng một hàm hash
Passphrase thông thường sử dụng cho key thuộc về người dùng có tương tác Người dùng
sử dụng gợi ý mạnh mẽ nhằm giảm mối đe dọa với lỗ hổng key ngẫu nhiên từ backups hoặc đĩa cứng không sử dụng
Trang 2Trong thực tế, tuy nhiên hầu hết SSH key đều tạo ra mà không có passphrase Không người nào gõ bất cứ gì cho key được sử dụng để xác thực Passphrase sẽ phải được mã hóa cứng trong một script hoặc được lưu trữ trong một vài loại vault, nơi mà nó có thể được tìm kiếm bởi một đoạn sccript Một attacker với đủ quyền có thể dễ dàng đánh lừa một hệ thống như vậy Như vậy sẽ có ít sự bảo vệ cho sự tự động hóa
Hơn 90% SSH key trong hầu hết các tổ chức lớn mà không có passphrase Tuy nhiên, điều này dựa trên tổ chức và chính sách an ninh của họ
Sử dụng công cụ quản lý SSH đúng là một gợi ý để đảm bảo truy cập chính xác quy trình cấp phép và dừng tiến trình, thường xuyên thay đổi key và làm đúng theo chính sách SSH key có thể được tạo ra bởi công cụ như ssh-keygen và PuTTYgen Những công cụ này đòi hỏi một passphrase để mã hóa cùng với key
PGP / GPG Private Key Protection
Private key được sử dụng trong công cụ mã hóa email như PGP để đảm bảo an toàn theo cách tương tự Như ứng dụng đặc thù sử dụng private key cho chữ ký số và giải mã email
và file