Meteen naar de inhoud

webinar: Meld je aan voor ons aankomende webinar.

Aanmelden

  1. Blogs
    2. Sleutelbeheer

 Inzicht in SSH-authenticatie zonder wachtwoord

Posted byShreya Jain 11 Minuten
SSH-authenticatie zonder wachtwoord
Inhoudsopgave

In de huidige wereld bevindt bijna alles wat we beheren, van applicaties, servers en cloudinfrastructuur tot productieomgevingen, zich ergens buiten ons fysieke bereik. Ontwikkelaars, systeembeheerders en beveiligingsteams werken regelmatig met machines die zich in een andere stad, een ander land of zelfs een ander datacenter kunnen bevinden. Om bedrijven soepel te laten draaien, hebben we een betrouwbare manier nodig om in te loggen op deze externe systemen, commando's uit te voeren, bestanden over te dragen en problemen op te lossen zonder fysiek aanwezig te hoeven zijn. Deze toegang op afstand moet snel en gemakkelijk zijn, maar bovenal moet deze veilig zijn.

In de beginjaren van netwerken werden tools zoals Telnet en rlogin veel gebruikt om toegang te krijgen tot externe machines. Ze werkten, maar ze vertrouwden veel te veel op het netwerk. Alles, inclusief gebruikersnamen en wachtwoorden, werd als platte tekst verzonden. Iedereen die meeluisterde op het netwerk kon de gegevens lezen en zich zonder veel moeite voordoen als een gebruiker. Naarmate het internet zich in de jaren negentig uitbreidde en systemen kwetsbaarder werden, veranderden deze zwakheden in reële beveiligingsrisico's. Beheerders hadden een manier nodig om met externe systemen te communiceren zonder zich zorgen te hoeven maken over aanvallers die stiekem het verkeer afluisterden.

Dit probleem leidde tot de uitvinding van Secure ShellSSH werd in 1995 geïntroduceerd. SSH werd ontwikkeld om een ​​beveiligd kanaal te bieden over een onbetrouwbaar netwerk. In plaats van gegevens openlijk te verzenden, versleutelt het de volledige sessie en verifieert het de identiteit van de betrokken systemen. Dit eenvoudige idee veranderde de manier waarop toegang op afstand werkte. Met SSH konden beheerders veilig inloggen op servers, bestanden overdragen en taken automatiseren zonder gevoelige informatie prijs te geven. Na verloop van tijd werd SSH de standaardtool voor toegang op afstand tot systemen en vormde het een stille maar essentiële ruggengraat van de moderne infrastructuur.

SSH-authenticatie

SSH-authenticatie bepaalt hoe een gebruiker zijn of haar identiteit bewijst bij het verbinden met een extern systeem. SSH ondersteunt twee primaire authenticatiemechanismen: wachtwoordgebaseerde authenticatie en wachtwoordloze authenticatieIn de beginfase van de adoptie van SSH, eind jaren negentig en begin jaren 2000, was authenticatie met een wachtwoord de standaardkeuze.

Destijds was de infrastructuur beperkt, waren systemen niet continu verbonden met het openbare internet en was het dreigingslandschap relatief onvolwassen. Daardoor werd het gebruik van statische wachtwoorden voor toegang op afstand als acceptabel beschouwd, zowel vanuit operationeel als vanuit beveiligingsoogpunt. Dit model begon echter te falen toen servers permanent met het internet verbonden raakten en aanvallers SSH op grote schaal begonnen te misbruiken.

Een van de meest indrukwekkende voorbeelden is de Mirai-botnetaanval in 2016. waarbij miljoenen apparaten en servers werden gehackt met behulp van geautomatiseerde brute-force-technieken. Wat is er precies gebeurd?

  • Mirai scande actief het internet af op open SSH- en Telnet-services en probeerde in te loggen met behulp van een vastgelegde lijst met veelgebruikte gebruikersnamen en wachtwoorden.
  • Nadat toegang was verkregen, werden systemen opgenomen in een botnet dat massale, gedistribueerde denial-of-service (DDoS)-aanvallen uitvoerde.
  • De aanval verstoorde belangrijke diensten zoals Geen DNSwaardoor platforms zoals Twitter, Netflix, GitHub en Reddit tijdelijk offline werden gehaald.
  • De geschatte economische schade bedroeg... honderden miljoenen dollars, waarmee wordt blootgelegd hoe toegang op afstand via wachtwoorden op internetschaal als wapen kan worden ingezet.

Dergelijke incidenten maakten duidelijk dat SSH-authenticatie op basis van wachtwoorden niet langer haalbaar was in moderne omgevingen. Wachtwoorden zijn inherent kwetsbaar voor brute-force-aanvallen, hergebruik van inloggegevens en geautomatiseerde scans, vooral wanneer SSH toegankelijk is via openbare netwerken. Dit leidde tot een sectorbrede verschuiving naar SSH-authenticatie zonder wachtwoordDit verwijdert wachtwoorden volledig uit het toegangspad en vervangt ze door cryptografische identificatie. Hierdoor is SSH-authenticatie verschoven van wachtwoordafhankelijke toegang naar cryptografische beveiliging, waardoor toegang op afstand tot systemen aansluit bij moderne beveiligings- en compliance-eisen.

Hoe werkt SSH-authenticatie zonder wachtwoord?

Authenticatie zonder wachtwoord betekent dat je kunt inloggen op een extern systeem. zonder een wachtwoord te typenterwijl je toch bewijst dat je een geautoriseerde gebruiker bent. Wanneer je een SSH-opdracht uitvoert om verbinding te maken met een server en je direct wordt ingelogd, is er achter de schermen geen sprake van het ontbreken van authenticatie, maar van het gebruik van een sterkere en veiligere methode gebaseerd op cryptografische sleutels.

De volgende punten beschrijven hoe SSH-authenticatie zonder wachtwoord wordt geïmplementeerd en hoe een beveiligde SSH-sessie tot stand wordt gebracht.

Het genereren van het SSH-sleutelpaar

Op de clientcomputer wordt een SSH-sleutelpaar gegenereerd met behulp van het commando ssh-keygen. Dit creëert een privésleutel en een bijbehorende publieke sleutel.

ssh-keygen -t rsa -b 4096 -C

-t rsa: Specificeert RSA als het sleuteltype.

-b 4096: Definieert de sleutellengte in bits.

-VS: Voegt een identificerende opmerking toe aan de legenda.

Standaard wordt de privésleutel opgeslagen in ~/.ssh/id_rsa en de publieke sleutel in ~/.ssh/id_rsa.pub.

Opmerking: Volgens de NIST-richtlijnen moet SSH gebruikmaken van moderne en veilige sleutelalgoritmen. Ed25519 is de voorkeursoptie voor nieuwe installaties vanwege de hoge beveiliging en efficiëntie. Als RSA vereist is, gebruik dan sleutels van 3072 bits of groter. ECDSA is acceptabel met goedgekeurde curves zoals P-256 of sterker.
 Algoritmen zoals DSA, RSA-1024Oudere of zwakke hash-gebaseerde varianten worden afgekeurd en mogen niet meer worden gebruikt, omdat ze niet langer voldoen aan de huidige beveiligingsnormen.

De publieke sleutel kopiëren naar de SSH-server.

De publieke sleutel moet worden toegevoegd aan de externe gebruiker. geautoriseerde_sleutels een bestand op de SSH-server plaatsen, zodat de server de client kan herkennen en vertrouwen. Dit wordt meestal gedaan met behulp van de ssh-copy-id Een hulpprogramma dat het proces van het installeren van de publieke sleutel op het externe systeem automatiseert.

ssh-kopieer-id @

Achter de schermen maakt ssh-copy-id verbinding met de server, maakt de map ~/.ssh en het bestand authorized_keys aan als deze nog niet bestaan, en voegt de publieke sleutel eraan toe. Dit zorgt ervoor dat de juiste machtigingen voor SSH zijn ingesteld.

De SSH-verbinding tot stand brengen

De SSH-client initieert een TCP-verbinding met de externe SSH-server, die luistert op poort 22 standaardDit verbindingsverzoek is het beginpunt van de SSH-handshake en geeft aan dat de client een beveiligde sessie wil opzetten.

ssh @

Als de server om veiligheids- of compliance-redenen is geconfigureerd om op een aangepaste poort te luisteren, moet de client die poort expliciet opgeven tijdens de verbinding.

ssh -p 22 @

Serveridentiteitsverificatie

Zodra de verbinding tot stand is gebracht, presenteert de SSH-server zijn openbare hostsleutel aan de client. De client controleert deze sleutel aan de hand van de gegevens in het bestand ~/.ssh/known_hosts om er zeker van te zijn dat hij met de juiste server communiceert. Tijdens de eerste verbinding vraagt ​​de client de gebruiker om de hostsleutel van de server te vertrouwen en op te slaan. Dit proces volgt het Trust on First Use (TOFU)-model en beschermt tegen misbruik. man in het midden aanvallen op toekomstige verbindingen door onverwachte wijzigingen in de identiteit van de server te detecteren.

Hoewel TOFU praktisch is voor individuele gebruikers, geven bedrijfsomgevingen vaak de voorkeur aan expliciete sleutelpinning, waarbij hostsleutels vooraf worden gedistribueerd en centraal worden beheerd. Dit elimineert het risico dat een kwaadwillende sleutel wordt vertrouwd tijdens de eerste verbinding en biedt een sterkere bescherming.

Clientverificatie

Nadat de identiteit van de server is geverifieerd, gaat de SSH-client verder met de gebruikersauthenticatie. De client geeft aan welke publieke sleutel hij wil gebruiken, en de server controleert of deze sleutel aanwezig is in het authorized_keys-bestand van de gebruiker.

Als de sleutel geautoriseerd is, genereert de server een willekeurige uitdaging en versleutelt deze met de publieke sleutel van de client voordat deze naar de client wordt verzonden. De client ontsleutelt de uitdaging met zijn privésleutel, berekent een cryptografische hash van de ontsleutelde uitdaging en stuurt deze hash terug naar de server.

De server berekent vervolgens zijn eigen verwachte hash van de oorspronkelijke uitdaging die het genereerde en vergelijkt deze met de hash die van de client is ontvangen. Als beide waarden overeenkomen, bevestigt de server dat de client de bijbehorende privésleutel bezit en wordt de gebruiker succesvol geauthenticeerd.

Het tot stand brengen van de versleutelde sessie

Zodra de authenticatie is geslaagd, legt SSH een volledig versleuteld communicatiekanaalVanaf dit punt worden alle gegevens die tussen de client en de server worden uitgewisseld, inclusief commando's, uitvoer en bestandsoverdrachten, beschermd op vertrouwelijkheid en integriteit. Dit beveiligde kanaal blijft actief gedurende de hele sessie, waardoor wordt gegarandeerd dat gevoelige bewerkingen niet kunnen worden onderschept of gewijzigd tijdens de overdracht.

Hoe past authenticatie zonder wachtwoord in moderne beveiligingspraktijken?

Nu we hebben gezien hoe SSH-authenticatie zonder wachtwoord werkt, leggen de volgende punten uit waarom deze aanpak zo goed aansluit bij moderne beveiligingspraktijken en waarom het de voorkeursmethode is geworden voor het beveiligen van toegang op afstand.

  • Aanval voorkomen
    Authenticatie zonder wachtwoorden maakt SSH-toegang onmogelijk, waardoor brute-force-, password-spray- en credential-stuffing-aanvallen effectief worden geëlimineerd. Omdat authenticatie gebaseerd is op cryptografisch bewijs in plaats van op te raden geheimen, worden geautomatiseerde aanvallen op SSH-aanmeldingspunten ineffectief.
  • Sterkere identiteit
    Toegang wordt alleen verleend wanneer de client kan aantonen dat hij in het bezit is van een geldige privésleutel. Dit verschuift de authenticatie van op kennis gebaseerde referenties naar op bezit gebaseerde identiteit, wat een sterkere en betrouwbaardere manier biedt om gebruikers en systemen te verifiëren.
  • Veilige automatisering
    Moderne omgevingen zijn sterk afhankelijk van scripts, configuratiebeheertools en CI/CD-pipelines. Wachtwoordloze authenticatie maakt veilige, niet-interactieve toegang mogelijk zonder wachtwoorden in code, omgevingsvariabelen of configuratiebestanden op te nemen.
  • Schaalbare toegangscontrole
    Wachtwoordloze SSH-authenticatie maakt schaalbare toegang mogelijk in grote en gedistribueerde omgevingen door cryptografische sleutels te gebruiken in plaats van gedeelde wachtwoorden. Hoewel SSH-sleutels standaard niet verlopen of worden geroteerd, kunnen ze wel worden beheerd met behulp van SSH-sleutelbeheer Platformen bieden inzicht in het eigenaarschap, gebruik en bereik van belangrijke resources. Hierdoor kunnen organisaties SSH-toegang schalen met behoud van governance, beleidshandhaving en controleerbaarheid.
  • Gecontroleerde intrekking
    In geval van een inbreuk of wijzigingen in de toegang, maakt SSH zonder wachtwoord het mogelijk om geautoriseerde sleutels gericht in te trekken door specifieke sleutels te identificeren en te verwijderen in plaats van gedeelde inloggegevens te resetten. Wanneer dit wordt ondersteund door gecentraliseerde tools voor sleuteldetectie en -beheer, verloopt de intrekking sneller en betrouwbaarder, waardoor het risico op onbevoegde toegang wordt verkleind.

Implementatieservices voor sleutelbeheeroplossingen

Wij leveren op maat gemaakte implementatieservices voor gegevensbeschermingsoplossingen die aansluiten bij de behoeften van uw organisatie.

Meer informatie

Wanneer authenticatie zonder wachtwoord mis kan gaan

Authenticatie zonder wachtwoord verbetert de beveiliging, maar is niet zonder risico's. De effectiviteit ervan hangt volledig af van hoe goed cryptografische sleutels worden beschermd, beheerd en gecontroleerd. Zwakke controles of gebrekkig inzicht kunnen het tot een gemakkelijke toegangspoort voor aanvallen maken.

Gemeen storing punten zijn onder meer:

  • Privésleutels worden onversleuteld op de schijf opgeslagen, waardoor ze gemakkelijk te stelen zijn als een systeem wordt gehackt.
  • Eén enkele SSH-sleutel wordt gedeeld door meerdere gebruikers, wat de verantwoordelijkheid en traceerbaarheid ondermijnt.
  • SSH-sleutels worden nooit geroteerd of verwijderd van systemen, zelfs niet nadat gebruikers de organisatie verlaten.
  • Teams hebben geen duidelijk inzicht in waar SSH-sleutels worden geïmplementeerd, waardoor verborgen toegang kan blijven bestaan.
  • SSH-sleutels worden handmatig beheerd binnen het systeem, wat het risico op beveiligingsfouten en -omissies vergroot.

Hoe kan Encryption Consulting u helpen?

At Encryptie ConsultingWe begrijpen dat de echte uitdaging niet de authenticatie zelf is, maar het veilig beheren van SSH-sleutels op grote schaal. SSH Secure is ontworpen om precies dit probleem aan te pakken door end-to-end beheer van de levenscyclus van SSH-sleutels te bieden met volledig inzicht en controle, zonder de operationele complexiteit te vergroten.

SSH beveiligd Centraliseert de ontdekking, generatie en het beheer van SSH-sleutels over servers en gebruikerssystemen heen. Sleutels kunnen zijn rechtstreeks gegenereerd vanuit het SSH Secure-portaal Door gebruik te maken van sterke cryptografische algoritmen zoals RSA-4096, ECDSA en Ed25519, worden sleutels gedurende hun hele levenscyclus veilig beheerd. Door een uniforme inventaris met eigendoms- en gebruikscontext bij te houden, krijgen organisaties inzicht in wie toegang heeft tot wat, terwijl sleutelverspreiding en verloren inloggegevens aanzienlijk worden verminderd.

Om de toegang te vereenvoudigen zonder de beveiliging in gevaar te brengen, biedt SSH Secure een probleemloze verbindingservaring met één klikGebruikers kunnen rechtstreeks vanuit het portaal veilig verbinding maken met geautoriseerde systemen door te klikken op de Connect Met deze knop kunt u toegang krijgen zonder handmatig SSH-opdrachten uit te voeren, privésleutels te beheren of lokale omgevingen te configureren. Deze aanpak vermindert menselijke fouten, versnelt workflows en zorgt ervoor dat de toegang altijd voldoet aan de vastgestelde beveiligingsrichtlijnen.

Achter de schermen zorgt SSH Secure voor beheer van de gehele levenscyclus via beleidsgestuurde controles en geautomatiseerde processen. omwenteling, vervaldatum en intrekking, met privésleutels die daarin beschermd zijn. HSM's Om extractie of misbruik te voorkomen. In combinatie met gedetailleerde audits en monitoring zorgt dit ervoor dat SSH-toegang gedurende de gehele levenscyclus veilig, gecontroleerd en conform de regelgeving blijft, waardoor SSH zonder wachtwoord zowel praktisch als geschikt voor bedrijfsomgevingen is.

Conclusie

SSH is een fundamenteel protocol voor veilige toegang op afstand tot systemen en beheer. Het maakt versleutelde communicatie mogelijk tussen clients en servers over onbetrouwbare netwerken, waardoor inloggegevens, commando's en gegevens tijdens de overdracht worden beschermd. Traditionele, op wachtwoorden gebaseerde SSH-authenticatie stelde systemen bloot aan brute-force-aanvallen, hergebruik van inloggegevens en phishing, waardoor het moeilijk was om de toegang op grote schaal te beveiligen.

Wachtwoordloze SSH-authenticatie pakt deze zwakheden aan door gebruik te maken van asymmetrische cryptografie in plaats van gedeelde geheimen. Authenticatie vindt plaats met behulp van cryptografische sleutelparen, waarbij privésleutels de client nooit verlaten en nooit via het netwerk worden verzonden. Dit verkleint het aanvalsoppervlak aanzienlijk en zorgt ervoor dat SSH-toegang aansluit bij de moderne zero-trust- en least-privilege-beveiligingsprincipes.

In combinatie met gestructureerd beheer van de levenscyclus van SSH-sleutels wordt authenticatie zonder wachtwoord operationeel betrouwbaar en veilig. Gecontroleerde sleutelgeneratie, -rotatie, -verloopdatum en -intrekking voorkomen problemen. sleutelverspreiding en elimineert verouderde toegang. Hierdoor verkrijgen organisaties een sterkere beveiliging, betere traceerbaarheid en schaalbare toegangscontrole in dynamische infrastructuuromgevingen.

Ontdek onze

Gerelateerde blogs

SSH-sleutels beveiligen met HSM's

SSH-sleutels beveiligen met HSM's

30 maart 2026
Jouw ultieme gids voor SSH-sleutelbeheer in meerdere clouds

Jouw ultieme gids voor SSH-sleutelbeheer in meerdere clouds

27 maart 2026

De beste methoden om uw SSH-sleutels te beschermen 

5 maart 2026

Bestudeer

Meer onderwerpen