在SSH连接中添加OTP是否具有安全优势？

Question

在现有的基于公钥的SSH连接上启用TOTP (google-authenticator PAM插件)是否有任何明显的改进？

将基于TOTP的SSH双因素auth启用到堡垒服务器中是否有安全意义？我知道OTP对web应用程序有什么好处，但是SSH呢？是否有使用OTP的基础设施安全的现有示例可供我参考？

Answer 1

您认为OTP对web应用有什么好处？SSH会有同样的优势吗？所以问题是，在使用SSH密钥时，您有哪些威胁？

我认为一个主要的威胁是，您无法控制或知道用户是否丢失了他的私密SSH密钥。您甚至不能知道或保证在第一，如果用户保护他的私人SSH密钥使用密码。(除非您使用智能卡作为私用SSH密钥)。

因此，在我看来，是的，在SSH连接中添加OTP也可以提高安全性，如下所示：

1. 管理员控制OTP设备的创建，并且
2. 您正在使用硬件OTP令牌。

在这种情况下

1. 用户可以通过保护自己的私有SSH密钥(不能由管理员、公司或组织控制)来保持安全性。
2. 管理员可以通过控制OTP令牌的第二个安全因素来保持安全性。

我写了一个利用privacyIDEA在博客上发表这方面的文章来管理OTP的第二个因素。