OpenSSH 8.2 引入了新的公钥类型“ecdsa-sk”和“ed25519-sk”,密钥文件包含对存储在 FIDO/U2F 硬件上的私钥凭证的引用。创建这些类型的 SSH 密钥时是否仍需要输入密码?如果一个攻击者在没有 FIDO/U2F 硬件访问权限的情况下获取私钥文件,这似乎毫无用处。
答案1
这要看情况,如果没有硬件密钥,你的 ssh 密钥就毫无用处,但如果他把它们一起偷了怎么办?例如,他拿走了你的笔记本电脑或装有硬件密钥的包。
您可以选择添加密码,这样攻击者就需要私钥、硬件密钥以及只有您知道的信息。如果您喜欢额外的安全层,或者这个 ssh 密钥可以访问整个公司,那么密码将是一个很好的额外安全层。