這對於在網咖使用 VPN 的人來說非常有用,因為那裡可能安裝了鍵盤記錄器。這樣,即使他們記錄了密碼,下次也不起作用。
答案1
我使用了 OpenVPN 設置,該設置具有用戶名/密碼階段來對實際用戶進行身份驗證,並且它針對 PAM 進行了後端處理。遺憾的是,我沒有該安裝中的配置文件,但是任何針對 PAM 的後端都可以利用任何 PAM 模組,並且 PAM 模組具有各種一次性支援 - 甚至更好。
對於一次性密碼,這傢伙寫了有關在PAM 下使用OPIE 的內容,OPIE(如S/KEY)是很久以前的舊OTP(一次性密碼)解決方案之一(稍微離題了,我記得打印了一張20 個OPIE 密碼以起飛到1995 年的會議,我相信其他人會對它有更早的記憶)。它可能很舊,但仍然很堅固,如果您不喜歡攜帶這張紙,現在有許多 OPIE 軟體生成器可供您使用。上面的文章引用了 iPhone 應用程序,但我確信還有其他應用程式。
然而,為什麼要止步於此呢?一旦將 PAM 連接到身份驗證引擎,您就可以變得非常巴洛克 - 並且越來越安全。
這一章有一個 PAM 模組,可以透過必須輸入的 SMS 發送令牌,因此您可以使用 GSM 手機作為雙重解決方案的一部分。
我自己也用過Yubikey,這是一個帶有 PAM 的小型 USB 介面 OTP 產生器,因此如果您願意,您可以一直使用專用硬體解決方案(所有程式碼都是 GPL 的)。我用它來控制 ssh 和 sudo 訪問,但由於它是透過 PAM 完成的,因此可以輕鬆連接到 OpenVPN 用戶身份驗證階段。
希望這能澄清這在理論上絕對是可能的,並為您提供一些想法。很抱歉,我沒有可以附加的可用 OpenVPN+PAM 配置,但是本文取自 openvpn.net似乎涵蓋了一些細節。