SFTP-Kennwörter oder SSH-Schlüssel? Genau diese Frage stellen sich IT-Fachkräfte bei der Einrichtung der Authentifizierung auf einem SFTP-Server häufig. Es gibt Diskussionen darüber, ob sich SSH-Schlüssel oder Kennwörter besser für den Schutz und die Validierung von SFTP-Servern in Unternehmen eignen. Eine klare Antwort gibt es allerdings nicht.
Was die beste bewährte Praktik für SFTP Sicherheit ist, lässt sich nicht so einfach beantworten. Sowohl SSH-Schlüssel als auch Kennwörter haben ihre Vor- und Nachteile. Es hängt davon ab, welche Anforderungen Ihr Unternehmen hat und wie streng Ihre Richtlinien zur Cybersicherheit sind.
Entdecken Sie den Unterschied zwischen den beiden
Was sind die tatsächlichen Unterschiede zwischen diesen Methoden? Wie funktionieren sie? Ist eine der Methoden wirklich besser oder sicherer als die andere? Welche Methode ist für Ihr Unternehmen am besten geeignet: SFTP mit Kennwort oder SSH-Schlüssel?
SFTP-Authentifizierung mit Kennwort
Die Authentifizierung eines SFTP-Servers mit einem Kennwort ist einfach. Der Administrator erstellt den Benutzernamen und das entsprechende Kennwort für einen Benutzer. Nach abgeschlossener Einrichtung wird nun bei jedem Anmeldeversuch des Benutzers die Kombination aus Benutzername und Kennwort vom Server überprüft und die Anfrage anhand des eingegebenen Kennworts entweder genehmigt oder abgelehnt.
Um diese Methode sicher zu machen, kann der Administrator eine Ausfallsicherheit aktivieren: Wenn ein Benutzer das Kennwort innerhalb von X Minuten mehr als X Mal falsch eingibt, wird der Zugriff auf das Konto für ihn gesperrt. Der Administrator kann auch Kennwörter festlegen, die bestimmte Anforderungen erfüllen (z. B. eine vorgegebene Länge haben oder Großbuchstaben, Zahlen und Symbole enthalten) und nach einer bestimmten Anzahl von Tagen ablaufen Allerdings ist es nach wie vor umstritten, ob diese Praxis Datenschutzverletzungen tatsächlich verhindert.
Vorteile: Einfach zu implementieren, können ablaufen, können Richtlinien zugewiesen werden
Nachteile: Können Brute-Force-Angriffen ausgesetzt sein, sind anfällig für menschliches Versagen und schwache Kennwörter, Kennwortrichtlinien können Mitarbeiter frustrieren
Authentifizierung mit SSH-Schlüssel
Die Authentifizierung eines SFTP-Servers mit einem SSH-Schlüssel erfordert zwar etwas mehr Arbeit, stellt aber eine nützliche Option für zusätzliche Sicherheit dar. Ein SSH-Schlüsselpaar besteht zum einen Teil aus einem privaten Schlüssel und zum anderen aus einem öffentlichen Schlüssel. Das Schlüsselpaar wird automatisch vom Computer generiert und kann eine Länge von bis zu 4096 Bit haben, womit es wesentlich länger als ein typisches Kennwort ist.
Sie haben einen privaten Schlüssel, der auf der SSH-Client-Software gespeichert ist, und einen öffentlichen Schüssel, der auf dem SSH-Server gespeichert ist.
Verwandte Artikel: Sind SSH und SFTP das Gleiche?
Nachdem die öffentlichen und privaten Schlüssel gespeichert sind, kann sich die Client-Software beim SSH-Server authentifizieren. Bei einigen SFTP-Servern sind sowohl ein SSH-Schlüssel als auch ein Kennwort zur zusätzlichen Authentifizierung erforderlich. Der Zugriff auf den Server wird jedem verweigert, der sich mit dem Benutzernamen oder dem Kennwort (oder beidem) anzumelden versucht, aber nicht über den entsprechenden privaten/öffentlichen Schlüssel verfügt. Dies gilt auch dann, wenn versucht wird, den Schlüssel durch einen Brute-Force-Angriff zu knacken.
Vorteile: In der Regel viel komplexer als ein Kennwort, werden nicht von Menschen erstellt, können als zusätzlichen Authentifizierungsfaktor ein weiteres Kennwort enthalten, lassen sich schwieriger über einen Brute-Force-Angriff knacken als Kennwörter
Nachteile: Laufen nicht ab, sind anfällig für physischen Diebstahl, wenn das betreffende Gerät gestohlen wird, einige Schlüsselpaare werden auf mehreren SFTP-Servern verwendet, wodurch der private Schlüssel wertvoll (und angreifbar) wird.
Die wichtigsten Begriffe: GoAnywhere-Glossar
Was ist nun die bessere Methode? SFTP mit Kennwörtern oder SSH-Schlüsseln?
Weder SSH-Schlüssel noch Kennwörter sind vollkommen immun gegen Angriffe. Es gibt keine einzige völlig sichere Option. Wir empfehlen aber die Verwendung von SSH-Schlüsseln zusammen mit einem Kennwort, um Ihre Benutzer bei einem SFTP-Server zu authentifizieren. Viele große Unternehmen (einschließlich GitLab) empfehlen die Verwendung eines Kennworts für Ihre SSH-Schlüssel als bewährte Praktik. Dasselbe wird in IT-Foren wie StackExchange häufig empfohlen.
Warum Sie SFTP mit Kennwörtern und SSH-Schlüsseln verwenden sollten
Das Hauptargument für die Verwendung von beiden? Wenn jemand Ihren privaten Schlüssel kompromittiert (z. B. Ihr Gerät stiehlt oder Malware darauf installiert), kann die Person den SFTP-Server ohne das Kennwort/die Passphrase nicht gefährden. Und was passiert, wenn jemand Ihr Kennwort hat, aber nicht Ihren privaten Schlüssel? Das war es dann für die potenziellen Angreifer. Natürlich ist auch dies nicht absolut sicher, aber es handelt sich um eine Zwei-Faktor-Authentifizierung, die im Vergleich zur SFTP-Authentifizierung mit nur einem Kennwort schon mehr Sicherheit bietet.
GoAnywhere Managed File Transfer unterstützt die Verwendung von SFTP, um Dateiübertragungen abzusichern, zu automatisieren und zu überprüfen.
Sie können Benutzer mit SFTP-Kennwörtern und SSH-Schlüsseln authentifizieren. Das heißt, Sie können entweder das eine, das andere oder beides wählen, um Ihren IT-Sicherheitsanforderungen zu entsprechen. Mit unserem SFTP client können Sie auch Dateien über einen verschlüsselten Tunnel von Ihrem SFTP-Server übermitteln und abrufen, mehrere verschlüsselte Dateien pro Verbindung übertragen, Warnmeldungen für fehlgeschlagene Übertragungen einrichten und vieles mehr.
