Tenga en cuenta que la configuración de PasswordAuthentication no controla TODA la autenticación basada en contraseña. ChallengeResponseAuthentication generalmente también solicita contraseñas.
PasswordAuthentication controla la compatibilidad con el esquema de autenticación de 'contraseña' definido en RFC-4252 (sección 8). ChallengeResponseAuthentication controla la compatibilidad con el esquema de autenticación 'teclado interactivo' definido en RFC-4256. El esquema de autenticación 'teclado interactivo' podría, en teoría, hacerle a un usuario cualquier cantidad de preguntas de múltiples aspectos. En la práctica, a menudo solicita solo la contraseña del usuario.
Si desea deshabilitar por completo la autenticación basada en contraseña, configure AMBOS PasswordAuthentication y ChallengeResponseAuthentication en 'no'. Si tiene una mentalidad de cinturón y tirantes, considere establecer UsePAM en 'no' también.
La autenticación basada en clave pública/privada (habilitada por la configuración PubkeyAuthentication) es un tipo de autenticación independiente que, por supuesto, no implica el envío de contraseñas de usuario al servidor.
Algunos dirían que usar ChallengeResponseAuthentication es más seguro que PasswordAuthentication porque es más difícil de automatizar. Por lo tanto, recomiendan dejar PasswordAuthentication deshabilitado y ChallengeResponseAuthentication habilitado. Esta configuración también fomenta (pero no impide necesariamente) el uso de la autenticación de clave pública para cualquier inicio de sesión automatizado del sistema. Pero, dado que SSH es un protocolo basado en la red, el servidor no tiene forma de garantizar que las respuestas a ChallengeResponseAuthentication (también conocido como 'keyboard-interactive') realmente las proporcione un usuario sentado frente a un teclado, siempre que los desafíos siempre y solo consiste en pedirle a un usuario su contraseña.
Su enlace apunta a documentación con 10 años de antigüedad.
SSH admite múltiples formas de autenticar a los usuarios, la más común es solicitar un inicio de sesión y una contraseña, pero también puede autenticar al usuario con un inicio de sesión y una clave pública. Si establece PasswordAuthentication en no, ya no podrá usar un inicio de sesión y una contraseña para autenticarse y deberá usar un inicio de sesión y una clave pública en su lugar (si PubkeyAuthentication está establecido en sí)
PasswordAuthentication es la implementación más fácil, ya que no hay nada que hacer. La contrapartida es que envía su contraseña, a través de una conexión encriptada, al servidor. Esto puede ser un problema de seguridad si el servidor se ha visto comprometido, ya que la contraseña podría ser capturada.
Con la clave pública, su contraseña no se transmite al servidor, es más seguro pero necesita más configuración.