La compensación entre la dificultad que supone mantener una autenticación de dos factores o de clave pública y el grado de seguridad que cada uno proporciona depende de cómo / quién la esté utilizando. Si el uso se encuentra entre un número limitado de administradores de sistemas de servidores que están familiarizados con la seguridad, de modo que no contaminen ninguno de los procesos al permitir que el acceso a su acceso (PC, computadora portátil, dispositivo móvil) se vea comprometido, entonces cualquiera de estos puede probar seguro.
Los diversos informes, artículos y blogs que he leído indican que el medio más frecuente para vencer la autenticación de dos factores o el cifrado de clave pública es obtener acceso al acceso inseguro del cliente: una PC que se encuentra en o sin la protección de contraseña que se usa para obtener acceso a la raíz (u otras áreas). Las contraseñas se pueden almacenar en el dispositivo en un administrador de contraseñas o se ingresan automáticamente mediante un navegador web o se anotan en un papel en un escritorio.
Otro medio de compromiso es cuando las contraseñas y las claves no se cambian después de que un empleado / asociado se retire.
La mayoría de los ataques de fuerza bruta, fuerza bruta distribuida y otros ataques externos son efectivamente frustrados por los métodos de autenticación de dos factores o de clave pública. Esto se mejora si se usan contraseñas razonablemente difíciles y se requiere el acceso de clave pública cifrada con contraseña (una forma de autenticación de dos factores en sí).
Se pueden usar otros métodos, como el uso de un puerto SSH no estándar, aunque existe un argumento válido en contra de ese método. Otro método es el uso de puertos rotativos / aleatorios no estándar o el uso de la función Port-knocking en la que tres o más puertos deben ser golpeados / tocados secuencialmente antes de otorgar acceso a un SSH seleccionado u otros puertos. Los puertos de desactivación de puertos también pueden rotarse periódicamente.
Los últimos métodos no suelen estar justificados porque es mucho más probable que se produzcan infracciones de seguridad dentro de una organización que ha implementado métodos de autenticación de dos factores y / o de clave pública. Si la naturaleza del trabajo / los servidores requiere los niveles más altos de seguridad, las capas adicionales de seguridad pueden tener sentido.
Volví a ver la película "The Imitation Game" 2014 anoche. Se trata del craqueo de la máquina de encriptación Nazi Enigma que requería determinar entre algunos cientos de millones de posibles selecciones manuales. El código fue roto por la máquina de computación electromecánica de Brit Alen Turing solo después de que se encontraron con términos repetidos en las comunicaciones que podían adivinar "¡Heil Hitler!" y otros términos en los informes meteorológicos diarios. Esto explica en gran medida la seguridad de los servidores Linux y otros sistemas seguros: solo son tan seguros como las prácticas de las personas que los usan.