对于那些在网吧中使用VPN的人来说,这可能是有用的,在那里有人可以安装一个密钥logging器。 这样,即使他们logging了密码,下次也不会工作。
我已经使用了一个OpenVPN的设置,它有一个用户名/密码阶段来validation实际的用户,并且它反对PAM。 可悲的是,我没有这个安装的configuration文件,但是任何后端对PAM的东西都可以利用任何PAM模块,而且PAM模块也有各种一次性支持,而且更好。
对于直接的一次性密码, 本章写了关于在PAM下使用OPIE,OPIE是(如S / KEY)旧式的OTP(一次性密码)解决scheme之一(稍微轻轻一点,我可以调出打印出一张其中有20个OPIE密码在1995年开始召开会议,而且我相信其他人也会有更早的记忆)。 它可能是旧的,但它仍然是坚实的,现在有任何数量的OPIE软件生成器,你可以使用,如果你不喜欢拿着纸。 上面的文章引用了一个iPhone应用程序,但我确定还有其他的。
但是,为什么要在那里? 一旦将PAM连接到身份validation引擎,您可以获得相当的巴洛克式 – 并且越来越安全。
这个章节有一个PAM模块,通过短信发送令牌,必须input,所以你可以使用你的GSM手机作为双因素解决scheme的一部分。
我自己使用了一个带有PAM的小型USB接口的OTP发生器Yubikey ,所以如果你想(所有的代码都是GPL),你可以一直到专门的硬件解决scheme。 我使用它来控制ssh和sudo访问,但是因为它是通过PAM完成的,所以很容易连接到OpenVPN用户authentication阶段。
希望澄清这在理论上绝对是可能的,并给你一些想法。 对不起,我没有一个工作的OpenVPN + PAM的configuration来追加,但这篇文章openvpn.net似乎覆盖了一些细节。