Apakah ada generator kode verifikasi dua faktor otentikasi baris perintah?

23

Saya mengelola server dengan otentikasi dua faktor. Saya harus menggunakan aplikasi iPhone Google Authenticator untuk mendapatkan kode verifikasi 6 digit untuk dimasukkan setelah memasukkan kata sandi server normal. Penyiapannya dijelaskan di sini: http://www.mnxsolutions.com/security/two-factor-ssh-with-google-authenticator.html

Saya ingin cara mendapatkan kode verifikasi hanya menggunakan laptop saya dan bukan dari iphone saya. Harus ada cara untuk menyemai aplikasi baris perintah yang menghasilkan kode verifikasi ini dan memberi Anda kode untuk jendela 30 detik saat ini.

Apakah ada program yang bisa melakukan ini?

ssh authentication pam dan
sumber

Jawaban:

24

Ya, oathtoolbisa melakukan ini. Anda harus mengunggahnya dengan rahasia bersama dari server Anda.

Anda dapat menginstalnya dari oath-toolkitpaket.

EEAA
sumber
Apakah ini kompatibel dengan modul PAM Google Authenticator? Sepertinya binatang yang berbeda (meskipun secara fungsional setara) ...
voretaq7
2
Yap - dengan --totpbendera, itu mengimplementasikan TOTP yang memenuhi standar yang sama seperti yang dilakukan Google Authenticator.
EEAA
2
Ini oathtool. Dalam banyak kasus, Anda memerlukan keduanya --totpdan -bflag (decoding base32)
Zouppen
1
FWIW, saya menulis pembungkus shell untuk oathtool yang secara fungsional setara dengan Authy pada CLI: github.com/poolpog/bash-otp
JDS
FWIW: Saya menulis pembungkus C yang digunakan libpam-google-authenticatoruntuk memverifikasi token. Lihat github.com/hilbix/google-auth - di README ada fungsi yang checktotpditampilkan. Hapus saja | fgrep -qx "$1";untuk melihat token.
Tino
3

Ada banyak implementasi Authenticator pihak ke-3. Lihatlah daftar di halaman wikipedia . Misalnya, Anda mungkin dapat menggunakan onetimepass (yang ditulis dengan Python) untuk penggunaan baris perintah.

Jeff VanNieulande
sumber
3

Ada juga implementasi go di github di https://github.com/pcarrier/gauth

Yang ini menggunakan file konfigurasi ~/.config/gauth.csvuntuk menyimpan token dalam format berikut

[email protected]: abcd efg hijk lmno
aws-account: mygauthtoken

Dan hasilnya juga ramah:

$ gauth
           prev   curr   next
AWS        315306 135387 483601
Airbnb     563728 339206 904549
Google     453564 477615 356846
Github     911264 548790 784099
[=======                      ]
Adam Terrey
sumber
2

Sejauh yang saya ketahui, Google hanya merilis aplikasi Authenticator untuk ponsel (iOS, Android).
(Ini menimbulkan masalah bagi orang-orang paranoid seperti saya, yang tidak terlalu mempercayai sejarah Google menghentikan layanan dengan sedikit pemberitahuan, dan lebih suka generator token yang bisa kita lihat di dalamnya.)

Anda dapat mempertimbangkan alternatif lain, seperti sistem pad kata sandi satu kali .

Jujur saja, mendapatkan kode verifikasi dari laptop Anda mengalahkan aspek otentikasi dua faktor (siapa pun yang menangkap laptop sekarang memiliki pembuat kode - itu bagian dari apa yang seharusnya dilindungi oleh Authenticator).

voretaq7
sumber
Saya setuju dengan sentimen bahwa perangkat terpisah pada dasarnya diperlukan untuk 2FA. Namun, bisakah perangkat sekunder itu menjadi server jarak jauh ?
Jerry W.
1
Menyimpan rahasia TOTP Anda di laptop alih-alih telepon Anda masih jauh, jauh lebih baik daripada tidak TOTP sama sekali jika Anda tidak menyimpan kata sandi di laptop Anda (misalnya, di agen kata sandi browser Anda). Penyerang MITM (seperti penebang kunci) tidak memiliki akses ke rahasia TOTP, hanya kode berbasis waktu, dan karenanya menangkap informasi auth hanya untuk satu atau dua menit. Laptop yang dicuri memiliki rahasia TOTP, tetapi bukan kata sandi. (Anda harus menggunakan kata sandi yang lebih lemah untuk membuatnya mudah diingat, tapi itu tidak masalah dengan TOTP.) Membuat penyerang mengendus kata sandi dan mencuri rahasia mempersulit tugas mereka.
Curt J. Sampson
Satu lagi catatan: TOTP seperti yang dipraktekkan secara teknis bukan dua faktor auth dalam arti yang paling ketat, karena kata sandi dan rahasia TOTP adalah "sesuatu yang Anda tahu." Entah dapat disalin tanpa sepengetahuan pemilik akan hilangnya kerahasiaan.
Curt J. Sampson
1

Anda dapat mencoba http://soundly.me/oathplus

Ini adalah alat yang saya kembangkan di atas yang mulia oathtool, yang memungkinkan Anda membaca kode QR, dan menyimpan info akun OTP untuk digunakan nanti. Anda dapat menganggapnya sebagai Google Authenticator untuk baris perintah, karena dapat mengunduh dan membaca kode QR, dan menggunakan otpauth://URI. (Hanya OSX atm.)

botol
sumber
0

Gauth.exe commandline windows untuk digunakan dari vim, saat mengedit file yang berisi kode gauth.

https://github.com/moshahmed/gauth/releases/download/mosh1/gauth-vim-stdin-win7-2019-01-08.zip

Ini adalah garpu https://github.com/pcarrier/gauth untuk dikompilasi di windows7.

Tes / penggunaan:

c:\Go\src\cmd\vendor\github.com\pcarrier\gauth-vim-stdin-win7> echo "dummy1: ABCD" | gauth.exe
prev curr next
dummy1 562716 725609 178657
[== ]

Usage from vim, when your cursor is on line
"dummy1: ABCD"
: . w ! gauth
" temp shell window popup with codes.
mosh
sumber