otpw vs google authenticator vs ?

[Stathis Kamperis]

Καλημέρα παιδιά,

χρειάζομαι να συνδέομαι με ssh από untrusted μηχανήματα. Επειδή ήδη
βρήκα έναν keylogger σ' ένα από αυτά, αποφάσισα να δοκιμάσω one-time
passwords. Έστησα το OTPW[1] οπότε μπορώ να συνδέομαι είτε με το
κανονικό μου password από trusted μηχανήματα είτε με one-time password
όταν είμαι εκτός.

stathis at anthesles:~$ ssh localhost
Password 077:
Password:
^C

Μέχρι τώρα δουλεύει πολύ καλά. Το μόνο που με αγχώνει είναι ότι δεν
έχει βγει άλλο release από το 2003. Αυτό μπορεί να είναι επειδή είναι
bug-free (πιο πιθανό αν το λέγανε djbotpw :P) ή επειδή είναι
εγκαταλελειμμένο.

Εναλλακτικά, κοίταξα τον google authenticator (που επίσης έχει
PAModule). Είναι actively maintained, αλλά και σε αυτή την περίπτωση
μπορεί κάποιος να σου υποκλέψει το password. Δε θα μπορεί απλά να
κάνει ssh in εκτός κι αν χρησιμοποιείς το ίδιο password σε άλλα
μηχανήματα/accounts/services.

Οπότε το δίλημμα διατυπώνεται ως εξής:

1. OTPW
     + φαίνεται να παίζει ΟΚ
     + σε προστατεύει από υποκλοπή του password (οπότε μπορείς να
χρησιμοποιείς το ίδιο password σε >1 περίπτωση)
     - δεν φαίνεται να είναι actively maintained

2. Google Authenticator
     + φαίνεται να παίζει ΟΚ
     - ΔΕΝ σε προστατεύει από υποκλοπή του password (οπότε ΔΕΝ μπορείς
να χρησιμοποιείς το ίδιο password σε >1 περίπτωση)
     + φαίνεται να είναι actively maintained

3. ?

A, απλά για την ιστορία στο openbsd χρησιμοποιώ το s/key auth που
είναι built-in στον openssh server. Επίσης, ναι, γνωρίζω ότι δεν είναι
καλό να έχει κάποιος το ίδιο password σε >1 περίπτωση.

Εσείς τι χρησιμοποιείτε;

Φιλικά,
Στάθης
_____
[1] http://www.cl.cam.ac.uk/~mgk25/otpw.html