درحال حاضر مدیران سیستم میتوانند از یک کلید امنیتی فیزیکی بهعنوان احراز هویت دومرحلهای (U2F) مبتنیبر سختافزار برای ورود امن به یک سیستم راه دور از طریق پروتکل SSH استفاده کنند. OpenSSH، یکی از پرکاربردترین پیادهسازیهای متنباز پروتکل SSH است که بهتازگی نسخهی ۸٫۲ این نرمافزار منتشر شد که دارای دو پیشرفت امنیتی مهم است. در ابتدا، OpenSSH نسخهی ۸٫۲ پشتیبانی از احراز هویت سختافزاری FIDO/U2F را اضافه کرده است و پس از آن الگوریتم امضای کلید عمومی SSH-RSA را رد کرده و تصمیم گرفته است تا آن را بهطور پیشفرض در نسخههای بعدی این نرمافزار غیرفعال کند.
دستگاههای امنیتی سختافزاری مبتنیبر پروتکل FIDO سازوکارهای قویتری برای احراز هویت هستند، زیرا امکان رمزنگاری کلید عمومی را برای محافظت در برابر بدافزار پیشرفته، حملات فیشینگ و مرد میانی فراهم میکنند. در OpenSSH، دستگاههای FIDO توسط انواع کلیدهای عمومی جدید ecdsa-sk و ed25519-sk و انواع گواهینامههای مربوطه پشتیبانی میشوند.
توکنهای FIDO معمولاً از طریق USB وصل میشوند، اما ممکن است از طریق بلوتوث یا NFC نیز وصل شوند. در OpenSSH، ارتباط با این توکن از طریق یک کتابخانهی میانافزار مدیریت میشود. گروه OpenSSH ابتدا پشتیبانی از U2F/FIDO را بهعنوان یک ویژگی آزمایشی در ماه نوامبر معرفی کرد که به همان میانافزار Yubico libfido2 متکی است.
یک کلید امنیتی فیزیکی، لایهی احراز هویت مضاعفی را به یک حساب اضافه میکند و کاربران میتوانند بهسرعت و به طور امن تنها با درج کلید امنیتی USB و فشار دادن یک کلید وارد حسابهای خود شوند. این به این معناست که حتی درصورتیکه مهاجمان موفق به آلوده کردن رایانه یا سرقت گذرواژهی SSH شوند، قادر نخواهند بود که بدون ارائهی کلید امنیتی فیزیکی به سیستم راه دور دسترسی پیدا کنند.
علاوهبرآن، رد الگوریتم امضای کلید عمومی SSH-RSA نیز قابل توجه است، زیرا الگوریتم درهمسازی SHA-1 کند و ناامن است و ممکن است با به کار بردن منابع کمتر نسبت به گذشته بهسادگی مختل شود. متأسفانه این الگوریتم علیرغم وجود جایگزینهای بهتر هنوز بهطور گسترده استفاده میشود و تنها الگوریتم امضای کلید عمومی است که توسط SSH RFC اصلی مشخص شده است.
نسخهی بعدی OpenSSH بهطور پیشفرض UpdateHostKeys را فعال میکند تا به مشتریان اجازه دهد که بهطور خودکار سراغ الگوریتمهای بهتر بروند. کاربران ممکن است این گزینه را بهصورت دستی فعال کنند. OpenSSH همچنین در سال گذشته ویژگی امنیتی دیگری را معرفی کرد که کلیدهای خصوصی را قبل از ذخیرهی آنها در حافظهی سیستم رمزنگاری میکند و آن را در برابر همهی انواع حملات جانبی محافظت میکند.