Telnet中的安全问题(6)

　　SSH是被认为是比较安全的系统。但是也存在一个安装和使用的问题，导致它不能被广泛地使用。真正的SSH的要面临的问题是，它仍旧是把密码从一个安全的连接直接传递到另一台主机上。因为有很多的人喜欢共享密码，也就是很多的地方使用同一个密码，如果有一台SSH服务器被攻破了，入侵者可以在服务器上面安装特洛伊木马程序，然后跟踪所有的连接，得到所有用户的密码，就可以试着破解另其他的连接到SSH服务器上的主机了。SSH为了缓解这个问题，使用公钥密钥对，但是又有另一个问题产生，就是用户使用不方便。密钥必须从一个地方挪到另一个地方，而且密钥的管理也成为一个问题。

　　为了避免所谓的公钥监听，要求每一个用户在自己的主目录下面都有所有要连接的主机的公钥的拷贝。但是每一个公钥都要占用大约1k的空间。如果用户企图连接很多的主机，那么所有的这些主机的公钥也要占用一部分空间，同时给管理带来不便。

　　尽管SSH通过在美国外面开发避免出口限制，但是它使用的是RSA技术，RSA技术的使用是受到美国政府的限制的。一个美国的公司想要开发基于SSH的产品，必须面对两个问题：一个是出口限制阻止它发布SSH相关的代码；RSA需要一个BSAFE许可证。因此，出口的限制将主要是在SSH中使用的加密的密钥的长度上面的限制。SSH是依靠加密手段来保护明文的，对于SRP就可以进行安全的认证，而不必使用特殊的加密机制。

　　2.5 SPX,SSLtelnet,Kerberos

　　SPX、SSLtelnet、Kerberos等产品提供了不同级别的安全保护，但是有一个共同的地方就是需要外部的证书或者是某种密钥分发设施。这就使得它们的应用范围受到了很大的限制。

　　2.6 S/key,IOIE一次性口令系统

　　一次性口令系统（OPT）。一次性口令系统可以使用很方便，原因是客户端不需要被修改。然而，它固有的安全缺陷却掩盖了它的优点。

　　OPT系统不使用任何形式的会话加密，因此是没有保密性的。所以这会在第一次会话中成为一个问题，如果他想要阅读他的在远程系统的邮件或者日志。而且，有感TCP会话的攻击，对这样的会话也构成威胁。所有的一次性口令系统都面临一个问题，就是密钥的复用。有时候，使用密钥的用户会重复使用以前使用的密钥。同样会给入侵者提供入侵的机会。