Während ein Passwort mit einer Brute-Force- Attacke geknackt werden kann, sind SSH-Schlüssel allein durch rohe Gewalt fast unmöglich zu entziffern. Beim Generieren eines Schlüsselpaares werden zwei lange Zeichenketten erstellt. Diese nennt man den öffentlichen und den privaten Schlüssel. Sie können den öffentlichen Schlüssel auf jedem Server platzieren und dann mit einem Client , auf dem der private Schlüssel hinterlegt ist, sich auf diesen Server verbinden. Wenn die beiden übereinstimmen, entriegelt das System ohne dass ein Passwort eingegeben werden muss.

Um die Sicherheit noch weiter zu steigern, kann der private Schlüssel mit einem Passwort versehen werden. Dieses muss vor einem Verbindungsaufbau einmalig eingegeben werden.