Устаревший USB-ключ eToken NG-OTP можно использовать для безопасной SSH-аутентификации и генерации одноразовых паролей. Для начала необходимо инициализировать устройство с помощью eToken Properties, выбрав расширенные настройки для загрузки поддержки RSA и OTA. Затем, с помощью XCA, создается ключевая пара RSA непосредственно внутри eToken, гарантируя безопасность закрытого ключа. Открытый ключ необходимо экспортировать и добавить в файл authorized_keys на удаленном сервере. Для PuTTY CAC создается фиктивный сертификат, позволяющий использовать eToken для аутентификации по SSH.
Для настройки генератора одноразовых паролей, который основан на HOTP с использованием SHA1, требуется специальный скрипт на Python, использующий библиотеку eToken.dll. После установки ключа, устройство выдает 6-значные пароли при нажатии на кнопку. Важно учитывать, что брелок выдает пароли, начиная с первого значения, даже если указан нулевой старт, поэтому (0) не совпадает с первым паролем, который появляется на экране.
Предлагаемый подход позволяет эффективно использовать eToken NG-OTP для усиления безопасности SSH-доступа и предоставляет дополнительный фактор аутентификации в виде одноразовых паролей, несмотря на некоторые ограничения в виде поддержки HOTP, 6-значных паролей и SHA1. Несмотря на то, что физический носитель может быть уязвим для кражи, он не добавляет дополнительных уязвимостей. Альтернативой, например, может служить Pico HSM, который обладает открытым исходным кодом и доступностью железа.
Изображение носит иллюстративный характер
Для настройки генератора одноразовых паролей, который основан на HOTP с использованием SHA1, требуется специальный скрипт на Python, использующий библиотеку eToken.dll. После установки ключа, устройство выдает 6-значные пароли при нажатии на кнопку. Важно учитывать, что брелок выдает пароли, начиная с первого значения, даже если указан нулевой старт, поэтому (0) не совпадает с первым паролем, который появляется на экране.
Предлагаемый подход позволяет эффективно использовать eToken NG-OTP для усиления безопасности SSH-доступа и предоставляет дополнительный фактор аутентификации в виде одноразовых паролей, несмотря на некоторые ограничения в виде поддержки HOTP, 6-значных паролей и SHA1. Несмотря на то, что физический носитель может быть уязвим для кражи, он не добавляет дополнительных уязвимостей. Альтернативой, например, может служить Pico HSM, который обладает открытым исходным кодом и доступностью железа.
