Isso pode ser útil para alguém que esteja usando uma VPN em um cibercafé onde alguém poderia ter instalado um key logger. Dessa forma, mesmo que tenham gravado a senha, não funcionará na próxima vez.
Responder1
Eu usei uma configuração OpenVPN que tinha uma fase de nome de usuário/senha para autenticar o usuário real e fez back-end contra o PAM. Infelizmente, não tenho os arquivos de configuração dessa instalação, mas qualquer coisa que back-end contra o PAM pode tirar vantagem de qualquer módulo PAM, e os módulos PAM têm todo tipo de suporte único - e melhor.
Para senhas diretas de uso único,esse caraescreve sobre o uso de OPIE no PAM, OPIE sendo (como S/KEY) uma das antigas soluções OTP (senha de uso único) há muito tempo (divergindo um pouco, lembro-me de imprimir uma folha de 20 senhas OPIE para levar para um conferência em 1995, e tenho certeza que outros terão lembranças ainda mais antigas dela). Pode ser antigo, mas ainda é sólido, e agora existem vários geradores de software OPIE que você poderia usar se não gostasse de carregar o pedaço de papel. O artigo acima faz referência a um aplicativo para iPhone, mas tenho certeza de que existem outros.
Porém, por que parar por aí? Depois de conectar o PAM ao mecanismo de autenticação, você pode ficar bastante barroco - e cada vez mais seguro.
Este carapossui um módulo PAM que envia um token via SMS que deve ser inserido, para que você possa usar seu telefone GSM como parte de uma solução de dois fatores.
Eu mesmo usei um Yubikey, que é um pequeno gerador de OTP com interface USB, com PAM, para que você possa ir até uma solução de hardware dedicada, se desejar (todo o código é GPL). Eu o uso para controlar o acesso ssh e sudo, mas como é feito via PAM, ele pode ser facilmente conectado à fase de autenticação do usuário OpenVPN.
Esperamos que isso esclareça que isso é definitivamente possível em teoria e lhe dê algumas idéias. Lamento não ter uma configuração OpenVPN + PAM funcional para anexar, maseste artigo de openvpn.netparece cobri-lo com algum detalhe.