无意中看到www.sshkeygen.com这个网站(故意不做成超链),先感叹了一下现在真是什么事情都可以放到“云端”完成,然后就意识到这里面的问题了。
ssh-keygen是*nix系统中用于生成SSH登录用的密钥对的命令,很多公共的服务器出于安全考虑都要求用密钥对代替密码来登录系统。然而这种方式对于很多人来说是比较陌生的,如果想借助于搜索引擎来解决这个问题,就很可能上了这个网站的当。在线生成密钥对,这就意味着你的密钥已经被这个第三方的“在线”网站所知晓了,私钥泄露,那还有什么“密”可言呢?
仔细看看这个网站上的遣词造句,还颇有一点专业的味道。不过它故意让你多输入了用户名、单位、域名、IP这些生成SSH密钥对根本不需要的信息,显然是别有用心啊。如果再看看它的About的页面,有些看似友好的TO-DO功能改进,实际上更具险恶用心,比如这个:implement key installation via web interface。
简单查了一下,现在好像还没有在线生成GPG密钥对的钓鱼网站,估计因为这个相对SSH密钥来说比较无利可图吧。puttygen(Windows下一个常用的用于生成SSH密钥对的软件)相关的域名也还没有人注册,这个想上去应该比sshkeygen对小白们更有效果啊,有识之士应该抓紧去注册,做一个在线的puttygen系统……
做为一个Best Practice,永远只在本机生成密钥对,并充分保管好自己的私钥。如果非要在公共主机上使用密钥对,一定得给私钥加上一个强劲的Passphrase。把私钥文件设成0600的权限是必须的,但是是没有用的,因为每台服务器的背后都有一个名叫root的“邪恶”帐号。
楼下是疯子。哈哈