¿Cómo configurar la autenticación de dos factores con OTP en FreeBSD?

Tengo un servidor alojado en FreeBSD al que me gusta poder acceder desde cualquier lugar. Normalmente uso SSH publickey para iniciar sesión, o si no tengo mi clave privada SSH disponible, entonces podría usar una contraseña regular sobre SSH. Sin embargo, al iniciar sesión desde una máquina no confiable siempre existe el riesgo de que un keylogger capture mi contraseña mientras la escribo.

FreeBSD ya tiene soporte para OPIE, que es un esquema de contraseña de un solo uso. Esto funciona muy bien, pero la contraseña de un solo uso es la única autenticación necesaria. Si imprimo una lista de contraseñas de un solo uso para usar más tarde, entonces si pierdo esa lista, eso es todo lo que alguien necesita.

Me gustaría configurar la autenticación para que necesite una contraseña única más algo que sé (una contraseña, excepto mi contraseña de inicio de sesión habitual). Tengo la sensación de que la respuesta tiene algo que ver con PAM (y /etc/pam.d/sshd) pero no estoy seguro de los detalles.

¿Cómo puedo configurar la autenticación cuando se requieren dos métodos?

Como desea utilizar una contraseña que no sea la de su cuenta normal, intente security/pam_pwdfiledesde el árbol de puertos.
Básicamente, le permite usar un archivo alternativo (formato username:crypted_password:) para autenticarse.
Para usarlo, coloque la siguiente línea /etc/pam.d/sshd justo antes de la línea para pam_opie:

auth    required    /usr/local/lib/pam_pwdfile.so    pwdfile    /path/to/pwd/file

Duo Security (nuestra compañía) ofrece un paquete de código abierto que admite OTP, devolución de llamada telefónica, SMS y autenticación de inserción de teléfono inteligente para SSH con contraseñas, clave pública o cualquier mecanismo de autenticación principal, con o sin PAM:

http://blog.duosecurity.com/2011/04/announcing-duos-two-factor-authentication-for-unix/

Suponiendo que esto usa pam, debería ser tan simple como poner dos módulos requeridos en /etc/pam.d/. Uno para Opie y otro para tu otra autenticación. (por ejemplo, contraseña normal de UNIX)

Considera usar pam-radius. Debería compilarse en BSD. Todos los sistemas de autenticación de dos factores con capacidad empresarial admiten radio. El radio es un estándar muy estándar, por lo que obtendrá una gran flexibilidad.

HTH.