@wonderfulcxm 你这个分布式攻击确实，不过 16 位的混合密码，也存在 62 的 16 次方，这个数字也已经是天文数字了，我算了用 10W 设备每秒 100 次尝试，也需要 75 万年，这放到现实其实就是足够安全了吧，更何况这种尝试，我怕是服务器先被流量撑爆

主要是密码管理问题 比如，服务器有 root 账户,你们几个人一起维护用同一个密码，一旦有人离职这密码就要换掉。但是你现在只需要删掉他公钥就行。就不要说还有那些能 sudo 账户可能还有弱密码的问题...反正直接禁用密码用公钥就没这些事了。 另外你描述的 16 位密码大概是等效 log2(94)*16 ，105bit 。还是不够长。你要是有 20 位就能做到 128bit 了 XD 问题是公钥认证模式中几乎不可能做暴力破解。登陆时你要先发你的公钥，你要不先偷到公钥，要不先猜那个巨长的公钥。公钥先猜对了，服务器这时候要你签名之前步骤里的信息，你这才有机会开始猜私钥... 用密码服务器多了也要用密码管理器...不如用一个公钥私钥对直接解决大部分密码管理问题了。 另外私钥也可以上密码的。

考虑实际的话，不管哪种方式要穷举完所有可能先耗尽的可能是网络资源... 但是有一点是，脑子正常的攻击者遇到没开密码验证的服务器一般就直接放弃尝试了，否则可能会一直试

@restkhz 你提到的多用户情况确实存在，但这似乎也仅仅是便利性上而非安全性上，更换密码一样安全不是吗？ sudo 同理，这已经超过本身讨论，16 位密码是不是足够安全这个范围。 不论 105bit 还是 128bit 甚至 4096bit ，现实暴力破解的预期时间都可以说是遥遥无期

@artiga033 一直尝试绝大部分情况下也并不会导致网络阻塞，毕竟想阻塞网络不会用尝试 SSH 密码这种攻击方式。还是回到密码本身是否足够安全这样的范围里讨论吧

@Admstor 如果从负载的角度看，更应该关闭密码验证只启用密钥，每次密码验证服务器要进行一次复杂的哈希运算，这些还故意设计得很慢，需要消耗大量内存，而公钥验证速度极快，对内存要求也很低。

和密码是两种东西啊，记得三十年前老师专门讲公钥私钥在邮件加密里的作用。

@Admstor 公私钥本质就不是说类似做密码验证. 可能先了解一下对称加密, 非对称加密. 像是你一直提到的是密码比对, 但是如果在传输不可信的时候. 他可能就会出问题, 类似中间人攻击. (叠个甲. 对安全这块个人也不是专业的) 上面的这些内容可以了解一下.

@Admstor 能防住用了 admin123 当口令还不觉得是问题的同事

@totoro625 对，OP 的想法太考验人性了