Het National Institute of Standards and Technology (NIST) heeft richtlijnen gepubliceerd hoe organisaties met hun Secure Shell (SSH)-sleutels moeten omgaan. Via SSH is het mogelijk om op afstand op een computer in te loggen. Naast handmatig inloggen wordt het ook voor automatische processen gebruikt.

Het gaat dan bijvoorbeeld om bestandsoverdracht, automatische back-ups, software- en patchmanagement, disaster recovery, provisioning en database-updates. Secure Shell biedt het mechanisme voor systeem tot systeemauthenticatie en versleutelt inter-systeemcommunicatie. Deze inter-systeemverbindingen werken vaak met verhoogde rechten, waarbij één systeem toegang tot een account met verhoogde rechten op het andere systeem krijgt.

Een patchmanagement-applicatie kan bijvoorbeeld toegang tot root-accounts krijgen of een database-applicatie die toegang tot het Oracle-account krijgt. NIST adviseert niet alleen dat er public key-gebaseerde authenticatie wordt gebruikt voor het authenticeren van deze processen, maar ook dat de public private key-paren volledig worden beheerd. De veiligheid van SSH-gebaseerde geautomatiseerde toegang zou namelijk al lange tijd door organisaties zijn genegeerd, met alle veiligheidsrisico's van dien.

Volgens SSH Communications Security, de commerciële partij achter SSH, is dit nogal een understatement. Bij veel organisaties zou er een algemeen gebrek aan bewustzijn of zelfs een moedwillige onwetendheid zijn over de beveiligingsrisico's die samenhangen met het gebruik van Secure Shell voor geautomatiseerde toegang. "Dit rapport is eigenlijk een wake-up call voor organisaties om aandacht te geven aan de manier waarop ze Secure Shell gebruiken", aldus Jonathan Lewis van SSH Communications Security.