你好 Cruz,

Gegen das public key Verfahren habe ich einzuwenden, dass mein Server nur
so sicher ist, wie die keys, die außerhalb des Servers gespeichert werden.

Beim Passwort-Verfahren ist der Server nur so sicher, wie die Passwörter
sind. Und da die meisten Passwörter auf Wörtern basieren und im Schnitt nur
etwa acht Zeichen lang sind, geht es relativ schnell, das zu knacken.

Keys dagegen sind kryptographisch sicher. Man kann eine
Key-Authentifizierung nicht in vernünftiger Zeit knacken (abgesehen
vielleicht von möglichen Sicherheitslöchern). Man muss also erst deinen
Key klauen (der ja auch nicht so ohne weiteres zugreifbar ist) und den Key
knacken (der ist ja auch Passphrase-geschützt). Ein ganzes Stück
schwieriger und mehr Aufwand.

Nur um mal zu checken, ob ich das richtig verstanden habe. Ich erzeuge
auf meinem PC einen privat - public key pair. Den private liegt auf
meinem PC, den public speichere ich auf dem Server. Wenn nu jemand
meinen private key von meinem PC klaut, dann kann er sich damit einloggen
oder?

Nur, wenn er die Passphrase zu dem Key hat.

Und mein PC ist im Vergelich zu meinem Server beschissen gesichert.

Das solltest du ändern. Sonst belausche ich einfach, welche
Tastatur-Eingaben du machst -- und dann habe ich auch dein Passwort. Wenn
du die Kontrolle über dein System verlierst, ist halt nicht mehr viel zu
machen, dann hast du verloren.

再见,
克里斯蒂安