ADPT

OpenSSH เตรียมยกเลิกรองรับการล็อกอินด้วย SHA-1

OpenSSH ได้ประกาศแผนเตรียมจะยกเลิกการรองรับใช้ SHA-1 ในการพิสูจน์ตัวตน เพราะถือว่าไม่มั่นปลอดภัยเพียงพออีกต่อไป

Credit: OpenSSH

ไอเดียก็คือเมื่อปี 2017 SHA-1 ได้ถูกชี้ว่าไม่มั่นคงปลอดภัยอีกต่อไปแล้ว เพราะทำ Collision Attack ได้ในทางปฏิบัติ (Google SHAttered) ต่อมาด้วยเทคโนโลยีที่พัฒนาขึ้น ทำให้ Cost ของการโจมตีถูกลง 

ล่าสุด OpenSSH ได้เล็งเห็นความสำคัญจึงเตรียมที่จะปิด ssh-rsa public key ไว้เป็นค่าพื้นฐานใน release ใหม่ๆ สำหรับใครที่ไม่คุ้นต้องอธิบายว่าผู้ใช้งาน OpenSSH ที่เข้าไปจัดการเซิร์ฟเวอร์จะสามารถสร้าง SSH Authentication Key เก็บไว้บนเซิร์ฟเวอร์และเครื่อง Local ได้ และ Key ที่เก็บไว้มาตรวจสอบโดยไม่ต้องอาศัยรหัสผ่านทุกครั้ง ดังนั้นในอนาคตทางทีมงาน OpenSSH จึงแนะให้ใช้ rsa-sha2-256/512 (รองรับตั้งแต่ OpenSSH 7.2), ssh-ed25519 (รองรับตั้งแต่ OpenSSH 6.5) หรือ ecdsa-sha2-nistp256/384/521 (รองรับตั้งแต่ OpenSSH 5.7) แทน

อย่างไรก็ดีทีมงาน OpenSSH ยังวางแผนที่จะเปิดฟีเจอร์ UpdateHostKeys โดย Default เพื่อช่วยให้เจ้าของเซิร์ฟเวอร์ Migrate จากการใช้ ssh-rsa ไปยังอัลกอริทึมอื่นๆ ที่ดีกว่าได้ง่ายขึ้น นอกจากนี้ตั้งแต่  OpenSSH เวอร์ชัน 8.2 ขึ้นมาได้มีการรองรับ Hardware Security Key อย่าง FIDO/U2D-based แล้ว

ที่มา :  https://www.zdnet.com/article/openssh-to-deprecate-sha-1-logins-due-to-security-risk/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ป้องกัน DDoS ระดับ Tbps ด้วย Cloudflare Magic Transit

DDoS Attacks เป็นหนึ่งในการโจมตีที่น่าหวั่นเกรงที่สุดในโลกไซเบอร์ โดยเฉพาะอย่างยิ่งการโจมตีระดับ Layer 3 ที่เน้นการยิงถล่มด้วยทราฟฟิกปริมาณมหาศาลจน Bandwidth เต็มและไม่สามารถให้บริการได้อีกต่อไป บทความนี้ จะมาทำความรู้จักกับ Cloudflare Magic Transit ที่ป้องกัน …

เชิญร่วมงานสัมมนา How to Improve Home Wi-Fi Security | 30 ก.ย. หรือ 7 ต.ค. 11:00 น.

TP-Link ขอเชิญผู้บริหารและผู้ปฏิบัติงานด้านเครือข่าย เข้าร่วมงานสัมมนาออนไลน์ “How to Improve Home Wi-Fi Security by TP-Link” เพื่อเรียนรู้แนวทางการเพิ่มความมั่นคงปลอดภัยให้แก่ระบบเครือข่าย ในวันพฤหัสบดีที่ 30 กันยายน หรือ 7 …