Có một trình tạo mã xác thực hai yếu tố dòng xác thực?

23

Tôi quản lý một máy chủ với xác thực hai yếu tố. Tôi phải sử dụng ứng dụng Google Authenticator iPhone để lấy mã xác minh gồm 6 chữ số để nhập sau khi nhập mật khẩu máy chủ bình thường. Thiết lập được mô tả ở đây: http://www.mnxsolutions.com/security/two-factor-ssh-with-google-authenticator.html

Tôi muốn có một cách để lấy mã xác minh chỉ bằng máy tính xách tay của tôi chứ không phải từ iphone của tôi. Phải có một cách để tạo một ứng dụng dòng lệnh tạo ra các mã xác minh này và cung cấp cho bạn mã cho cửa sổ 30 giây hiện tại.

Có một chương trình có thể làm điều này?

ssh  authentication  pam 
dan
nguồn

Câu trả lời:

24

Vâng, oathtoolcó thể làm điều này. Bạn sẽ cần phải gieo nó với bí mật được chia sẻ từ máy chủ của bạn.

Bạn có thể cài đặt nó từ oath-toolkitgói.

EEAA
nguồn
Điều này có tương thích với mô-đun PAM của Google Authenticator không? Nó có vẻ như là một con thú khác (mặc dù tương đương về chức năng) ...
voretaq7
2
Đúng - với --totpcờ, nó thực hiện cùng một TOTP tuân thủ tiêu chuẩn mà Google Authenticator thực hiện.
EEAA
2
Đó là oathtool. Trong nhiều trường hợp, bạn cần cả hai --totp-bcờ (giải mã cơ sở 32)
Zouppen
1
FWIW, tôi đã viết một trình bao bọc cho oathtool có chức năng tương đương với Authy trên CLI: github.com/poolpog/bash-otp
JDS
FWIW: Tôi đã viết một trình bao bọc C sử dụng libpam-google-authenticatorđể xác minh mã thông báo. Xem github.com/hilbix/google-auth - trong README có chức năng checktotpđược hiển thị. Chỉ cần loại bỏ | fgrep -qx "$1";để xem các mã thông báo.
Tino
3

Có nhiều triển khai Authenticator của bên thứ 3. Kiểm tra danh sách trên trang wikipedia . Chẳng hạn, bạn có thể sử dụng onetimepass (được viết bằng Python) để sử dụng dòng lệnh.

Jeff VanNieulande
nguồn
3

Ngoài ra còn có một triển khai đi trên github tại https://github.com/pcarrier/gauth

Cái này sử dụng tệp cấu hình ~/.config/gauth.csvđể lưu trữ mã thông báo theo định dạng sau

me@gmail.com: abcd efg hijk lmno
aws-account: mygauthtoken

Và đầu ra cũng khá thân thiện:

$ gauth
           prev   curr   next
AWS        315306 135387 483601
Airbnb     563728 339206 904549
Google     453564 477615 356846
Github     911264 548790 784099
[=======                      ]
Adam Terrey
nguồn
2

Theo như tôi biết thì Google chỉ phát hành ứng dụng Authenticator cho điện thoại (iOS, Android).
(Điều này đặt ra một vấn đề đối với những người hoang tưởng như tôi, người không thực sự tin tưởng vào lịch sử ngừng cung cấp dịch vụ của Google với rất ít thông báo và muốn có một trình tạo mã thông báo mà chúng ta có thể thấy bên trong.)

Bạn có thể xem xét các lựa chọn thay thế khác, như hệ thống mật khẩu một lần .

Thành thật mà nói, việc lấy mã xác minh từ loại máy tính xách tay của bạn sẽ đánh bại khía cạnh xác thực hai yếu tố (bất kỳ ai bắt giữ máy tính xách tay bây giờ đều có trình tạo mã - đó là một phần của Authenticator được bảo vệ chống lại).

voretaq7
nguồn
Tôi đồng ý với quan điểm rằng một thiết bị riêng biệt về cơ bản là cần thiết cho 2FA. Tuy nhiên, thiết bị thứ cấp đó có thể là một máy chủ từ xa không?
Jerry W.
1
Lưu trữ bí mật TOTP của bạn trên máy tính xách tay thay vì điện thoại của bạn vẫn còn nhiều, tốt hơn nhiều so với không có TOTP nếu bạn không lưu trữ mật khẩu trên máy tính xách tay của mình (ví dụ: trong đại lý mật khẩu của trình duyệt). Những kẻ tấn công MITM (chẳng hạn như logger khóa) không có quyền truy cập vào bí mật TOTP, chỉ là mã dựa trên thời gian và do đó, nắm bắt thông tin xác thực tốt chỉ trong một hoặc hai phút. Một máy tính xách tay bị đánh cắp có bí mật TOTP, nhưng không có mật khẩu. (Bạn sẽ cần sử dụng mật khẩu yếu hơn để làm cho nó dễ nhớ, nhưng điều đó ổn với TOTP.) Làm cho những kẻ tấn công vừa đánh hơi mật khẩu vừa đánh cắp bí mật làm phức tạp nhiệm vụ của chúng.
Curt J. Sampson
Thêm một lưu ý: TOTP như đã thực hành về mặt kỹ thuật không phải là xác thực hai yếu tố theo nghĩa chặt chẽ nhất, bởi vì cả mật khẩu và bí mật TOTP đều là "thứ bạn biết". Hoặc có thể được sao chép mà không có kiến ​​thức của chủ sở hữu về việc mất bí mật.
Curt J. Sampson
1

Bạn có thể thử http://soundly.me/oathplus

Đây là một công cụ tôi đã phát triển trên đầu trang đáng kính oathtool, cho phép bạn đọc mã QR và lưu thông tin tài khoản OTP để sử dụng sau. Bạn có thể coi nó là Google Authenticator cho dòng lệnh, vì nó có thể tải xuống và đọc mã QR và sử dụng otpauth://URI. (Chỉ OSX atm.)

bình
nguồn
0

Một dòng lệnh gauth.exe để sử dụng từ vim, khi chỉnh sửa một tệp chứa mã gauth.

https://github.com/moshahmed/gauth/release/doad/mosh1/gauth-vim-stdin-win7-2019-01-08.zip

Đây là một nhánh của https://github.com/pcarrier/gauth để biên dịch trên windows7.

Kiểm tra / sử dụng:

c:\Go\src\cmd\vendor\github.com\pcarrier\gauth-vim-stdin-win7> echo "dummy1: ABCD" | gauth.exe
prev curr next
dummy1 562716 725609 178657
[== ]

Usage from vim, when your cursor is on line
"dummy1: ABCD"
: . w ! gauth
" temp shell window popup with codes.
mosh
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.