Это может быть полезно для тех, кто использует VPN в интернет-кафе, где кто-то мог установить кейлоггер. Таким образом, даже если они записали пароль, он не сработает в следующий раз.
решение1
Я использовал настройку OpenVPN, в которой для аутентификации реального пользователя была фаза имени пользователя/пароля, и она подключилась к PAM. К сожалению, у меня нет файлов конфигурации из этой установки, но все, что подключилось к PAM, может воспользоваться любым модулем PAM, а модули PAM имеют всевозможную одноразовую поддержку — и даже лучше.
Для одноразовых паролей,этот пареньпишет об использовании OPIE в PAM, OPIE (как и S/KEY) является одним из старых решений OTP (одноразовых паролей) из далекого прошлого (немного отвлекаясь, я могу вспомнить, как распечатал лист с 20 паролями OPIE, чтобы взять с собой на конференцию в 1995 году, и я уверен, что у других будут еще более ранние воспоминания об этом). Он может быть старым, но он все еще надежен, и сейчас есть множество программных генераторов OPIE, которые вы можете использовать, если вам не нравится носить с собой листок бумаги. Статья выше ссылается на приложение для iPhone, но я уверен, что есть и другие.
Однако зачем останавливаться на достигнутом? Как только вы подключите PAM к движку аутентификации, вы сможете стать весьма причудливым — и все более безопасным.
Этот пареньимеет модуль PAM, который отправляет токен через SMS, который необходимо ввести, чтобы вы могли использовать свой GSM-телефон как часть двухфакторной аутентификации.
Я сам пользовался Yubikey, который представляет собой небольшой генератор одноразовых паролей с интерфейсом USB и PAM, так что вы можете перейти к выделенному аппаратному решению, если захотите (весь код находится под лицензией GPL). Я использую его для управления доступом ssh и sudo, но поскольку это делается через PAM, его можно легко подключить к фазе аутентификации пользователя OpenVPN.
Надеюсь, это проясняет, что это определенно возможно в теории, и дает вам некоторые идеи. Мне жаль, что у меня нет рабочей конфигурации OpenVPN+PAM, чтобы приложить, ноэта статья с openvpn.netкажется, он охватывает это довольно подробно.