Mots de passe SFTP ou clés SSH ? Cette question est souvent posée par les professionnels informatiques au moment d’élaborer la méthode d’authentification sur un serveur SFTP. Le choix entre des clés SSH ou des mots de passe pour protéger et valider les serveurs SFTP d’entreprise est sujet à débat, et aucun consensus officiel n’est parvenu à se dégager.
Il n’est pas facile de déterminer la meilleure pratique de sécurité SFTP. Clés SSH et mots de passe offrent leurs propres avantages et inconvénients et votre choix dépendra des besoins de votre organisation et de la force de votre politique de cybersécurité.
Découvrez les différences entre les deux
Quelles sont les véritables différences entre ces méthodes ? Comment fonctionnent-elles ? Y a-t-il vraiment une méthode plus performante ou sûre que l’autre ? Quelle méthode est la mieux adaptée à votre organisation : SFTP avec mot de passe ou clés SSH ?
Authentification par mot de passe SFTP
Il est très simple d’authentifier un serveur SFTP à l’aide d’un mot de passe. L’administrateur crée une combinaison nom d’utilisateur/mot de passe pour un utilisateur donné. Une fois la configuration terminée, dès que l’utilisateur se connecte, le serveur vérifie la combinaison nom d’utilisateur/mot de passe et approuve ou refuse la demande selon que le mot de passe est correct ou non.
Pour sécuriser cette méthode, l’administrateur peut déployer une méthode de sécurité intégrée (failsafe) : si quelqu’un saisit un mot de passe incorrect plus de X fois dans un délai de X minutes, l’accès au compte lui sera bloqué. L’administrateur peut également définir des mots de passe de façon à ce qu’ils répondent à certaines exigences (longueur spécifique, majuscules, chiffres, symboles) et expirent après un nombre de jours déterminé — mais l’utilité de cette pratique pour protéger face au risque de violation de données est toujours sujette à débat.
Avantages : faciles à mettre en œuvre, peuvent expirer, possibilité d’affecter des règles
Inconvénients : peuvent être craqués, sujets à erreur humaine, risque de mot de passe faible, règles de mot de passe pouvant frustrer les employés
Authentification par clé SSH
L’authentification d’un serveur SFTP à l’aide d’une clé SSH nécessite un peu plus de travail, mais elle constitue une option utile pour renforcer la sécurité. Une paire de clés SSH se compose d’une clé privée et d’une clé publique. Cette paire est automatiquement créée par l’ordinateur et peut avoir une taille de 4 096 bits, soit bien plus qu’un mot de passe typique.
La clé privée est conservée sur le logiciel client SSH, tandis que la clé publique est stockée sur le server SSH.
Lecture connexe : SSH et SFTP : quelles différences ?
Dès lors que les clés publique et privée sont stockées, le logiciel client peut s’authentifier auprès du serveur SSH. Certains serveurs SFTP nécessitent à la fois une clé SSH et un mot de passe à des fins d’authentification supplémentaire. Quiconque tente de se connecter à l’aide du nom d’utilisateur et/ou du mot de passe, mais ne possède pas la bonne combinaison clé privée/clé publique, se verra refuser l’accès au serveur (qu’il tente ou non de s’y introduire par la force).
Avantages : généralement bien plus complexes qu’un mot de passe, non générés par des humains, possibilité d’y ajouter un mot de passe comme facteur d’authentification supplémentaire, plus difficile à craquer que les mots de passe
Inconvénients : n’expirent pas, vulnérabilité aux vols physiques (si quelqu’un subtilise l’appareil utilisé), certaines paires de clés sont utilisées sur plusieurs serveurs SFTP, ce qui fait des clés privées une ressource de grande valeur (et vulnérable)
Apprenez le vocabulaire : Glossaire GoAnywhere
Alors, quelle méthode est la meilleure ? SFTP avec mots de passe ou clés SSH ?
Aucune option n’est parfaite, et ni les clés SSH, ni les mots de passe n’offrent une protection complète face au risque de compromission. Toutefois, si vous avez toujours des doute sur laquelle privilégier, nous vous recommandons d’utiliser des clés SSH accompagnées d’un mot de passe pour authentifier vos utilisateurs auprès d’un serveur SFTP. De nombreuses grosses sociétés (comme GitLab) conseillent comme meilleure pratique d’utiliser un mot de passe avec votre clé SSH. Certains forums informatiques, comme StackExchange, préconisent la même pratique.
Pourquoi vous devriez utiliser SFTP avec mots de passe et des clés SSH
Le principal argument pour combiner les deux ? Si un individu compromet votre clé privée (subtilise votre appareil ou y installe un logiciel malveillant), il ne pourra pas compromettre le serveur SFTP sans mot de passe/phrase secrète. Et si quelqu’un possède votre mot de passe mais pas votre clé privée ? C’est peine perdue pour cette personne. Aucune solution n’est évidemment parfaite, mais une authentification à deux facteurs est préférable à une authentification SFTP par simple mot de passe.
Le transfert de fichiers géré GoAnywhere prend en charge l’utilisation de SFTP pour sécuriser, automatiser et auditer les transferts de fichiers. Vous pouvez authentifier les utilisateurs à l’aide de mots de passe SFTP et de clés SSH : en d’autres termes, vous pouvez opter pour la première méthode, la seconde ou les deux à la fois en fonction de vos besoins de sécurité informatique. Grâce à notre client SFTP, vous pouvez également livrer et récupérer des fichiers depuis votre serveur SFTP via un tunnel crypté, transférer de nombreux fichiers cryptés par connexion, configurer des alertes d’échec de transfert, etc.
Visionner une démo à la demandePlanifier une démo personnalisée
