OTP与Keyfile

Question

我一直在想，使用OTP (一次密码)与密钥文件(例如解密keepass数据库、通过SSH连接到服务器或其他用途)有什么好处和缺点。

编辑:也..。哪个更安全？

Answer 1

密钥文件是PKI的一个元素。我的意思是，它很难管理，而且打算长时间使用，并部署在大型基础设施上，而OTP，根据定义，只对一个会话有用，而且对于简单的轻量级应用程序来说，它是一个轻量级但健壮的解决方案，因为一旦有人发现OTP对他/她不再有用。

Answer 2

你正在写"keypass“，但在你的问题"keepass”上加上了标签。你说的是密码保险箱吗？还是说要登录到SSH服务器的ssh密钥？

ssh公共密钥机制通常将私钥存储在受密码保护的文件中。这个文件可能会被复制，被偷，被残忍地强迫。第二个因素( ssh密钥文件)可以复制，因此不是唯一的第二个因素。理想情况下，OTP令牌是一个不易复制的硬件设备，因此是“唯一”的第二个因素。

对于OTP身份验证，始终需要一个身份验证后端。如果此后端已关闭或不可用，则无法进行身份验证。另一方面，您需要一个身份验证后端，这很好，因为您可以管理所有OTP令牌。

SSH密钥不需要管理。但它们很难管理！

因此，如果您有许多用户或多台机器要对其进行身份验证，那么您应该考虑一个可管理的解决方案。它通常随OTP而不是ssh键一起使用。如果您只是一个拥有几台机器的用户，也可以使用ssh键。您还可以在privacyIDEA上获得一个赃物，它最初是任何类型的OTP身份验证者的身份验证和管理系统，但也可以从1.2开始管理SSH密钥。