Tenga en cuenta que la configuración de Autenticación de contraseña no controla TODAS las autenticaciones basadas en contraseña. ChallengeResponseAuthentication generalmente también solicita contraseñas.
PasswordAuthentication controla la compatibilidad con el esquema de autenticación de 'contraseña' definido en RFC-4252 (sección 8). ChallengeResponseAuthentication controla la compatibilidad con el esquema de autenticación 'interactivo con el teclado' definido en RFC-4256. El esquema de autenticación 'interactivo con el teclado' podría, en teoría, hacerle al usuario cualquier cantidad de preguntas multifacéticas. En la práctica, a menudo solo solicita la contraseña del usuario.
Si desea deshabilitar por completo la autenticación basada en contraseña, configure AMBAS contraseña de autenticación y ChallengeResponseAuthentication en 'no'. Si eres de la mentalidad de cinturón y tirantes, considera configurar UsePAM en 'no' también.
La autenticación basada en clave pública / privada (habilitada por la configuración de Autenticación Pubkey) es un tipo separado de autenticación que no implica enviar contraseñas de usuario al servidor, por supuesto.
Algunos argumentarán que usar ChallengeResponseAuthentication es más seguro que PasswordAuthentication porque es más difícil de automatizar. Por lo tanto, recomiendan dejar PasswordAuthentication deshabilitado y dejar ChallengeResponseAuthentication habilitado. Esta configuración también fomenta (pero no necesariamente impide) el uso de la autenticación de clave pública para los inicios de sesión automatizados del sistema. Pero, dado que SSH es un protocolo basado en la red, el servidor no tiene forma de garantizar que las respuestas a ChallengeResponseAuthentication (también conocido como 'teclado interactivo') sean realmente proporcionadas por un usuario sentado en un teclado siempre que el (los) desafío (s) siempre y solo consiste en pedirle al usuario su contraseña.