@ctexlive 我从头就不赞成Keep Pass啊

@ctexlive 如果同意我们都公认使用~/.ssh/*登录是很脆弱的方案，那么抬杠就可以中止了。我选择临时输入密码，你选择二次验证或者硬件密钥这不冲突

@ctexlive 首先你最好先学习一遍密码学原理这样我们可以统一词汇表。

1）使用登录密码，ssh基于密钥交换/推导算法建立会话秘钥，不会把登录密码在网络上传输。整个过程用服务器的公钥验证服务器，用户的账号密码验证登录用户，这是没有问题的。

2）用户开启的进程有读~/.ssh/*的权限，它要愿意2秒钟就读完并回传到它的服务器上了，你还很难检测出来。这是一个事实

3）默认配置下sudo机制导致知道sudoer的密码就等于知道root密码。不论怎么说sudo后的用户权限一定比sudo前高，这就会导致安全问题。这个问题是虚假的安全感：很多人以为禁掉root只用sudoer账号就安全了，其实根本不是这么回事。sudoer密码泄漏通常造成的影响和泄漏root密码一样的。不用sudo机制，管理员一定会加强管理root密码，用了sudo（特别是多个sudo账号），管理难度就陡然上升

4）我不推崇用Keep Pass等Keychain工具。原因很简单，我绝不在硬盘上留下任何可以被破解的原始材料。所有条件一样的情况下，临时输密码一定比用存在硬盘上的key安全

@kafkakevin 第三方程序被你启动了以后能读你的~/.ssh/*，这你承认么？承认的话是否承认密钥泄漏了呢？ ssh服务在远程机器上，我根本不用关心ssh服务

@ttimasdf 你的系统的安全依赖于Keep Pass这类Keychain程序的安全性。恶意程序可以先拷走你的Keep Pass数据库和~/.ssh/（因为它的进程有你的uid），然后等Keep Pass出安全漏洞他好本地加速破解

@ctexlive 你第一次登录真实主机的时候ssh会记录下它的公钥，之后你假如被DNS劫持，中间人服务器由于没有主机的私钥是不能和你记录下来的公钥匹配的，你会得到报警！

但是这是验证对方主机身份，和你用临时输入的密码还是~/.ssh/来提供你的身份证明没有关系

@ctexlive 我再说一遍ssh本身是防止中间人攻击的，输密码的也是！你怎么老是要说中间人攻击呢？

@ttimasdf 就ssh来说用密码当然可以防中间人攻击

@ctexlive 我没说通过口令长度来防止中间人攻击。我说口令长度足够长就行了。用口令本身也是防止中间人攻击的，所有的验证算法都要用到密钥exchange/Agreement算法，是安全的，所以请不要扯什么中间人攻击这回事

@ctexlive 给密码加密码只不过是增加密码链条长度，很多情况下是无意义的。口令的好处我再说一遍，在于没有持久化在硬盘上的可供破解的东西。在其他条件都相同的情况下，当然不给你的敌人任何可破解的原始材料更安全

@kafkakevin 假设你的机子上有个第三方程序，你启动它不就给了它的进程你的uid？这样你能读你的~目录，这个进程也能读。很明白吧？

@ctexlive 我不需要随机密码来保护我。我只要密码足够长然后每次手动输入就行了。这和用~/.ssh/秘钥的本质区别在于我的硬盘上没有长期保存的秘钥等着别人来拷走。我每次手动输入，如果没有key logger和shell history的话密码只存在ssh的进程里，会话结束就消失了

@aku 你两步登录，第一步用跳板账号登录的时候如果用.ssh下的私钥方案，一样会被泄漏。然后光是跳板账号就有很多r权限，已经算被半个攻陷了

@kafkakevin 你开个shell，默认继承shell父进程的uid，最后一路回朔到login或者图形化的gui-login

@ttimasdf 你确定你能保证你的登录机的物理安全？如果你用随身的mac做登录机你确定你的mac上每个程序都是可信的（这个我承认确实能做到）？或者别人不会在借用你的mac的时候拷走~/.ssh/？

@ctexlive 用临时输入的密码和用公私钥都能防止中间人攻击

@kafkakevin 你开的进程继承你的uid，然后就有r权限啊

@66450146 临时输入的密码也可以防御中间人攻击，这个不要搞错

@onemoo 临时输入的密码明显比一直留在硬盘上的可以读取的密码安全。输入的密码只要排除key logger和shell history就可以了，这个很容易排除