¿Cómo verificar si SSH Client no está grabando mi información de inicio de sesión?

1

hay muchos Clientes SSH que se pueden usar con Android, por ejemplo JuiceSSH client , así que tengo un problema de seguridad, es decir, ¿cómo puedo saber o verificar que esta aplicación no registra mis credenciales cuando me autentico en mi servidor?

    
pregunta Rep 27.12.2017 - 18:02
fuente

2 respuestas

1

Es difícil verificar que su información de inicio de sesión no se esté transmitiendo a terceros. Una aplicación maliciosa podría elegir compartir sus credenciales directamente (o en un momento posterior) con un atacante (posiblemente en forma cifrada).

Posibles soluciones o mitigaciones:

  • Use un cliente SSH de código abierto como ConnectBot , el código fuente está disponible para que pueda auditarlo o compilarlo usted mismo.
  • Use claves SSH en lugar de autenticación basada en contraseña. Si bien un atacante también puede copiar la clave SSH privada a un tercero, revocar una clave SSH debería ser más fácil que cambiar y recordar una nueva contraseña.
  • Confíe en el (número de) usuarios y revisiones del producto, verifique los antecedentes del autor.
respondido por el Lekensteyn 27.12.2017 - 18:49
fuente
1

Recomiendo altamente la lectura Reflexiones sobre Trusting trust un breve discurso de Ken Tompson Muestra lo difícil que es verificar que no haya nada malicioso en un programa que esté ejecutando. Debe confiar en el autor del programa, el compilador y el compilador del compilador y el sistema operativo y el BIOS, etc. etc.

Puede minimizar el riesgo, usar un programa bien revisado, posiblemente revisarlo usted mismo. Aunque algunos problemas pueden ser difíciles de encontrar, incluso si están presentes en el código fuente: enlace ) Puede intentar monitorear el comportamiento de la aplicación, para detectar comportamientos sospechosos específicos, como conectarse a algún otro servidor al que no se lo pidió, pero existen técnicas para filtrar datos que son difíciles de detectar, especialmente si son novedosas. La mayoría de nosotros nos centramos en el uso de software de código abierto bien conocido obtenido de una fuente confiable y firmado por una fuente confiable. Medidas adicionales son posibles, aunque por lo general no vale la pena.

    
respondido por el Meir Maor 27.12.2017 - 20:11
fuente

Lea otras preguntas en las etiquetas