从PCI-DSS的angular度来看,使用SSH密钥进行无密码身份validation足够安全吗?
TIA,维塔利
如果您的ssh服务对Internet开放,那么您需要双因素身份validation(8.3)。 此要求适用于任何访问拥有持卡人数据的系统的账户(除了仅处理交易的账户外,只能访问当时处理的数据)。 你的内部networking上也应该有双因素authentication(8.2)。
ssh密钥只作为一个因素(即你知道的)计算,即使它有自己的密码短语。
由于无法进行testing,因此外部扫描将会忽略此要求。 但是现场拜访你的审计人员应该寻找它。