计算机科学 > 密码学与安全
[提交于 2025年7月11日
]
标题: SSH-密钥:利用网络认证实现无密码SSH
标题: SSH-Passkeys: Leveraging Web Authentication for Passwordless SSH
摘要: 我们提出一种使用Web身份验证API进行SSH身份验证的方法,使用户能够使用密钥进行无密码的远程服务器登录。 这些是通过认证器在用户代表下管理整个密钥生命周期的凭证,并提供强大的安全保证。 尽管存在已知的缺陷,如网络钓鱼和重复使用,密码仍然是SSH身份验证的主要方式。 SSH的自定义基于密钥的身份验证协议可以缓解这些问题,但仍然容易受到密钥被盗的影响。 此外,其可用性较差,即使是知识丰富的用户也会泄露密钥材料并未能验证指纹。 因此,有效的密钥管理仍然是SSH安全中的一个关键开放领域。 相比之下,WebAuthn是一种现代的身份验证标准,旨在取代密码,代表用户管理密钥。 作为一个网络API,该标准无法直接与SSH集成。 我们提出一个框架,通过使用UNIX可插入认证模块(PAM)将WebAuthn与SSH服务器集成。 我们的方法具有向后兼容性,支持标准的SSH服务器,并且不需要新的客户端软件。 它提供了对静态加密材料的保护,抵抗密钥泄露,防止网络钓鱼,保护隐私并具备证明能力。 这些特性密码或传统的SSH密钥都不具备。 我们通过结构化的概念安全分析验证了这些优势。 我们开发了一个原型实现,并进行了一项用户研究,以量化我们提案的安全优势,用40个SSH用户测试我们的原型。 研究证实了SSH密钥的安全问题,包括20%的参与者泄露了他们的私钥。 我们的SSH密钥有效解决了这些问题:我们发现关键安全错误减少了90%,同时平均认证时间减少了4倍。
收藏
文献和引用工具
与本文相关的代码,数据和媒体
alphaXiv (什么是 alphaXiv?)
CatalyzeX 代码查找器 (什么是 CatalyzeX?)
DagsHub (什么是 DagsHub?)
Gotit.pub (什么是 GotitPub?)
Hugging Face (什么是 Huggingface?)
带有代码的论文 (什么是带有代码的论文?)
ScienceCast (什么是 ScienceCast?)
演示
推荐器和搜索工具
arXivLabs:与社区合作伙伴的实验项目
arXivLabs 是一个框架,允许合作伙伴直接在我们的网站上开发和分享新的 arXiv 特性。
与 arXivLabs 合作的个人和组织都接受了我们的价值观,即开放、社区、卓越和用户数据隐私。arXiv 承诺这些价值观,并且只与遵守这些价值观的合作伙伴合作。
有一个为 arXiv 社区增加价值的项目想法吗? 了解更多关于 arXivLabs 的信息.