如果它不使用密碼，它真的可以直接竊取私鑰嗎？

我在不同的地方讀過，比如在這個問題使用不帶密碼的 ssh 密鑰對允許攻擊者在獲得對您帳戶的訪問權限時竊取您的私鑰。我假設通過“竊取”這意味著他們可以相當容易地進行暴力攻擊以嘗試所有可能的私鑰，直到他們找到與您帳戶中儲存的公鑰匹配的私鑰。但是上述問題的公認答案假設私鑰基本上以純文字形式儲存在某處。這與我一直理解的情況相反：因為（通常）你不會將你的私鑰儲存在伺服器上——只有你的公鑰——不使用密碼所帶來的主要安全風險是有人可以從您的本地電腦上竊取私鑰，然後在不需要知道密碼的情況下使用它。

哪種觀點是正確的？私鑰是否很容易從您只放置公鑰的伺服器上提取？

該問題擔心儲存在未加密的伺服器上的私鑰。這是一個像這樣的場景：

workstation 1 ---> gateway -> final server
    ⋮               |
workstation n ------/

並且OP擔心“網關”上的私鑰，這是一個具有多個使用者的共享機器。

不可能通過破壞伺服器來竊取私鑰，只有實際儲存密鑰的機器才能竊取。如果您使用 ssh 代理轉發，那麼如果您沒有 ssh-agent 提示，則可以使用密鑰而不竊取它（例如登錄另一台機器）。

但是你仍然應該加密你的私鑰，以防你的工作站被入侵。或者，特別是在筆記型電腦失去或被盜的情況下。

引用自：https://unix.stackexchange.com/questions/46737