これは、誰かがキーロガーをインストールしている可能性のあるインターネットカフェで VPN を使用している人にとって便利です。こうすることで、たとえパスワードを記録したとしても、次回からは機能しなくなります。
答え1
私は、実際のユーザーを認証するためのユーザー名/パスワード フェーズを持つ OpenVPN セットアップを使用しており、これを PAM に対してバックエンド処理していました。残念ながら、そのインストールの構成ファイルはありませんが、PAM に対してバックエンド処理するものであれば、どの PAM モジュールでも利用できます。また、PAM モジュールにはあらゆる種類の 1 回限りのサポートがあり、さらに優れています。
単純なワンタイムパスワードの場合、この男PAM で OPIE を使用する方法について書いています。OPIE は (S/KEY と同様に) かなり昔の OTP (ワンタイム パスワード) ソリューションの 1 つです (少し脱線しますが、1995 年の会議に持っていくために OPIE パスワード 20 枚を印刷したことを覚えています。もっと昔のことを覚えている人もいるでしょう)。古いかもしれませんが、まだしっかりしています。紙を持ち歩くのが嫌な場合は、今では OPIE ソフトウェア ジェネレーターがいくつもあります。上記の記事では iPhone アプリについて言及していますが、他にもあるはずです。
しかし、なぜそこで止まるのでしょうか? PAM を認証エンジンに組み込むと、非常に複雑になり、セキュリティがさらに高まります。
この男入力が必要なトークンを SMS 経由で送信する PAM モジュールがあるため、GSM 電話を 2 要素ソリューションの一部として使用できます。
私自身もYubikeyを使ったことがあるこれは、PAM を備えた小さな USB インターフェイスの OTP ジェネレーターなので、必要に応じて専用のハードウェア ソリューションまで移行できます (すべてのコードは GPL です)。私はこれを使用して ssh および sudo アクセスを制御していますが、PAM 経由で行われるため、OpenVPN ユーザー認証フェーズに簡単に組み込むことができます。
これで理論上は間違いなく可能だということが明確になり、いくつかのアイデアが得られたと思います。残念ながら、OpenVPN+PAMの設定を追加することはできませんが、openvpn.net からのこの記事かなり詳細に説明されているようです。