SSH 实际上并不防御击键计时攻击。据我所知，目前还没有发现通过对 SSH 连接进行时序分析来恢复密码的实际案例。但是，由于如果是这种情况，没有人会特别通知我，这能证明什么？

该报告声称，Song-Wagner-Tian 攻击在实际网络上太难实施，因为网络隐含的延迟掩盖了击键之间的延迟。人们可能会注意到，所谓的攻击依赖于一个学习阶段，其中首先收集两个特定字母之间的延迟（针对特定受害者）；这个阶段在实践中看起来很难做到。另一个令人烦恼的问题是，经常输入的密码通常有自己的延迟模式。也就是说，当您一次又一次地键入相同的密码时，密码中出现的“v”和随后的“o”之间的延迟将与“vo”字母出现在密码中时测量的延迟完全不同。您还键入的非密码文本。

注意： SSH 包含一些随机填充，至少四个随机字节（参见标准），但这是为了避免使用的分组密码的一些潜在弱点。它与时间无关。

我想你的问题是关于：

华盛顿——加州大学伯克利分校的一组研究人员周五揭示了安全外壳 (SSH) 实施中的两个弱点，这使得窃听者可以通过观察用户击键的节奏来了解用户密码的确切长度。通过对通过网络收集的时间信息使用高级统计技术，研究人员还发现窃听者可以了解有关用户在 SSH 会话中键入的内容的重要信息。

请注意，此攻击使用启发式方法来检测您何时输入密码，然后计算字符数，从而揭示长度。主要是因为密码是您运动记忆的一部分，这意味着您可以非常快速地输入密码，因为您之前已经输入过很多次。因此，如果攻击者看到快速连续的字符（比您的其他击键速度更快），那么他就知道这可能是您的密码。

正如您所了解的，如果您缓慢地键入字符，则无法使用标准启发式方法进行分析。启发式方法将失败，因为您在输入密码时没有执行正常的预期行为。

PS和平给你兄弟骆驼。