SFTP는 사용자 이름과 비밀번호를 안전하게 전송합니까?

Question

sftp 서버에 로그인하면 안전하게 사용자 이름과 암호를 보냈습니까?

또는 전체 전송이 암호화되도록하려면 인증서 기반 인증이 필요합니까?

클라이언트 의존적 인 경우 사용자 이름과 비밀번호를 안전하게 전송하도록 Tumbleweed 및 WinSCP를 구성 할 수 있는지 알고 있습니까?

Answer 1

SFTP의 의미에 따라 다릅니다. SSH 파일 전송 프로토콜 인증을 의미하는 "실제"SFTP는 SSH 계층에서 수행되며 안전합니다. 어떤 사람들은 FTP-over-TLS의 동의어로 "SFTP"를 사용합니다.이 경우에는 대부분의 경우 사용자 이름과 암호를 보내기 전에 명령 채널이 암호화됩니다 (SSL/TLS 보안 연결의 경우에만 해당) 일반 FTP는 아닙니다!)하지만 일반 텍스트로 인증 할 수 있습니다 (예 : 디버깅 용).

Answer 2

SFTP는 SSH를 통해 키 교환을 통해 보안 터널을 설정합니다 (처음 연결할 때 키를 수락하고 저장하라는 메시지가 표시됩니다). 보안 터널이 설정되면이를 통한 모든 통신이 암호화됩니다. 사용자 이름과 암호는 터널을 통해 전송되므로 안전하게 전송됩니다.

Answer 3

SFTP 자체가 전혀 인증되지 않습니다. 그것의 명세에 따르면 assumes that it runs over a secure channel. 따라서 기본 채널이 인증을 처리 할 것으로 예상합니다 (있는 경우).

SFTP의 특정 인스턴스가 실행되는 채널은 무엇이 문제입니까? 99 %의 경우 SSH (포트 22)를 통해 실행되며 사용자 이름과 암호를 안전하게 보냅니다. SFTP 클라이언트의 대다수 (WinSCP는 확실히)와 서버는 SSH가 아닌 다른 채널을 지원하지 않습니다.

엄밀히 말하면 SSH는 암호화가 없거나 암호화가 약할 수도 있습니다. 비록 대부분의 경우에도 안전합니다. 그리고 다시, 대부분의 SSH 클라이언트 (WinSCP는 확실히)와 서버는 암호화없는 SSH 설정을 허용하지 않습니다.

---