证书总是比用户名/密码或预共享密钥更好的解决方案。但是，如果您将使用多因素身份验证（即用户名+密码+RSA 令牌/Google Authenticator/SMS/whatever），我会说它对此类攻击足够安全。即使是强密码并遵循推荐的密码更改策略也可以。

具有长 2048 位公钥的证书比长 513 个十六进制字符的 SecurePassword™ 弱。

注意我说的是 513。实际上没有人愿意在键盘上敲击 513。

值得注意的是，证书身份验证在使用智能卡时更强，因为如果没有对智能卡的物理访问，私钥实际上不会受到损害。例如，键盘记录器不能违反私钥。

注意：SecurePassword™ 不是品牌或产品，是我关于密码强度的一个笑话。

如果这意味着您不使用 PSK，而是使用具有永不离开智能卡的私钥的非对称加密，则更安全。这也意味着您必须为要连接的每个用户注册一张智能卡，并且他们必须是唯一的。