为什么SSH密钥认证优于密码认证？

这不是技术性问题，而是概念性问题。我知道SSH密钥中使用的加密技术比常规密码要强大得多，但是我不明白为什么它被认为更安全。

我阅读的大多数教程都建议使用SSH密钥认证而不是密码认证。但是我的理解是，任何有权访问预先批准的客户端计算机的人都将能够连接到服务器，这意味着SSH密钥提供的安全级别仅与物理服务器的安全级别一样强。客户端计算机。

例如，如果我在手机上设置了SSH密钥以连接到家用计算机，如果我丢失了手机并且有人设法对其进行解锁，他们将能够连接到家用计算机。我知道我可以从家用计算机中取出手机的钥匙，但是在我发现客户端设备丢失/损坏之前，我一直很脆弱。

我是否误解了某些东西，或者是那些正当的担忧？

如果您的SSH服务允许基于密码的身份验证，则僵尸网络将在白天和黑夜里敲打您的Internet连接的SSH服务器，以尝试猜测用户名和密码。僵尸网络不需要任何信息，它可以尝试使用流行的名称和流行的密码。有很多人叫约翰，密码是qwerty123。除此以外，这还会阻塞您的日志。

如果您的SSH服务仅允许公共密钥身份验证，则攻击者需要与服务器上存储的公共密钥相对应的私有密钥的副本。他们不仅可以进行随机攻击，还必须具有用户的先验知识，并且必须能够从SSH服务器的授权用户的PC上窃取私钥。

私钥通常受长密码保护的事实具有次要意义。

更新：

就像我指出的那样，正如评论所指出的那样，将您的SSH服务从端口22移到高编号的端口上会极大地改变日志中出现的未经授权的登录尝试次数。这是值得做的，但我确实将其视为一种模糊的安全性（一种错误的安全感）-僵尸网络迟早会实施缓慢的隐匿端口扫描，否则您将被故意作为目标。更好地准备。

我总是使用长密码短语来保护我的私钥，我猜想这在移动设备上尤其重要，因为移动设备更容易丢失或被盗。

另外，http：//xkcd.com/538/

逻辑是SSH密钥的组合比密码多得多，因此很难猜测。使用SSH密钥还可以使您禁用密码身份验证，这意味着绕过Internet的大多数自动攻击将毫无用处。

关于物理安全性，保存密码与在设备上丢失或被盗时在设备上拥有未加密的SSH密钥之间没有区别。您拥有的唯一好处是，没有人输入密码，并且从理论上讲，您可以确保所有设备都具有不同的SSH证书，因此您只需为手机禁用一个即可。

我相信也可以使用密码保护SSH密钥。

键盘也可以通过“过肩”来监视密码。此外，在许多地方都使用类似的密码是一个弱点，尤其是当密码有时在安全性较低且具有潜在按键记录程序的计算机上使用时。

没错，如果计算机被盗，可以从硬盘上读取未加密的密钥-因此请使用密码对其进行加密。

如果您的计算机受到恶意软件的侵害，无论如何您都会被塞住。-有人可以获得加密密钥并记录您的密码。