Me encontré con este documento anterior, discutiendo la posibilidad de que la información de la longitud de la contraseña se divulgue cuando se usa SSH: Análisis de tiempo de pulsaciones de teclado y ataques de tiempo en SSH . El documento ha sido discutido aquí antes .
Esto me hizo preguntarme: ¿debería evitarse el ingreso de contraseñas a través de SSH? Si ese es el caso, ¿no sería preferible conectarse como usuario privilegiado (usando una clave ssh) que conectarse como usuario sin privilegios y luego sucesivamente sudo en la cuenta raíz? Usando el método anterior, no se transferiría ninguna contraseña, mientras que con el último, podría ser posible adivinar la contraseña. Incluso si ssh está configurado para permitir solo el inicio de sesión sin contraseña, esto podría usarse para leer / enviar correos o acceder a cualquier otro servicio que esté disponible para el usuario.
¿Es este un buen razonamiento? ¿Me salió mal la premisa en algún lugar?