美国 国家标准和技术协会 （ National Institute of Standards and Technology ） （NIST）发布了《 数字身份验证指南 （ Digital Authentication Guideline ） （DAG）》的最新草案，其中暗示将来会禁用基于短信的 双因子认证方案 （ Two-Factor Authentication ） （2FA）。

《 数字身份验证指南 Digital Authentication Guideline （DAG）》是一系列用于软件商构建安全服务的规则，也被政府和私人机构用于评估其服务和软件的安全性。

NIST 的专家们一直不断地更新该指南，以便应对 IT 领域的快速变化。

基于短信的双因子认证仍然可以用，但是不会太久了

据最新的《数字身份验证指南》草案，NIST 正式地不建议公司继续使用基于短信的认证，甚至说将来考虑在该指南中将基于短信的双因子认证视作不安全的。NIST 在该草案中说：

“如果使用基于公共移动电话网络的短信作为带外验证，验证者必须验证其预注册的手机号码是基于移动网络的，而非 VoIP（或者其它基于软件的），然后才能发送短信到预注册手机号码。修改预注册手机号码时如果没有双因子验证是不能进行的。不推荐使用短信进行带外验证，本指南的将来版本中将不再允许这种方式。”

NIST 的指南当中认为基于短信的双因子认证是不安全的，因为用户不会总是带着电话。

在该指南中，推荐软件应用应该使用令牌和软件加密验证器，这可能是手机应用或硬件设备的形式，但是就像手机一样，也可能被偷走或“临时借走”。但该指南认为这种风险是可接受的，而不像令牌或软件加密验证器那样，短信在 VoIP 服务之下是一个影响到了联合信任因子的缺陷。

短信是不安全的，特别是在 VoIP 连接下

因为一些 VoIP 服务允许劫持短信，所以 NIST 建议厂商在基于短信的双因子系统在发送短信验证码之前，对使用 VoIP 连接的访问进行特别检查。

短信是一个广泛使用的不安全协议，仅在上周，Context Information Security 的安全研究人员就披露了又一起依赖于短信协议而危及到了其用户和设备的攻击。随着对这种攻击类型的越来越多的研究，软件厂商、公司以及用户会逐渐认识到应该换到更安全的验证方式上。

当前的 NIST 指南仍在讨论之中，但是基本上可以确定，该指南的将来版本不会再将使用基于短信的认证方式推荐为带外验证的安全方式。

生物识别技术是一个新兴发展方向

在该指南草案中，也提到了生物特征识别技术在特定条件下是可以作为一个验证方式的：

“因此，对生物识别技术的验证是支持的，只需要遵循如下准则：生物识别技术应该与其他（你知道的或你拥有的）认证因子配合使用。”

安全就是一切。我们生活的当今世界，数据具有令人难以置信的价值，而你也一直处于数据丢失的风险之中。因此，你必须想尽办法保证你桌面系统和服务器中数据的安全。结果，管理员和用户就会创建极其复杂的密码、使用密码管理器甚至其它更复杂的东西。但是，如果我告诉你你可以只需要一步，至多两步就能登录到你的 Linux 服务器或桌面系统中呢？多亏了 Google 身份验证器，现在你可以做到了。并且，配置也极其简单。

我会给你简要介绍为登录和 sudo 设置双因子认证的步骤。我基于 Ubuntu 16.04 桌面系统进行介绍，但这些步骤也适用于其它服务器。为了实现双因子认证，我会使用 Google 身份验证器。

这里有个非常重要的警告：一旦你设置了认证，没有一个从认证器中获得的由 6 个数字组成的验证码你就不可能登录账户（或者执行 sudo 命令）。这也给你增加了一步额外的操作，因此如果你不想每次登录到 Linux 服务器（或者使用 sudo）的时候都要拿出你的智能手机，这个方案就不适合你。但你也要记住，这额外的一个步骤也给你带来一层其它方法无法给予的保护。

话不多说，开始吧。

安装必要的组件

安装 Google 身份验证器 （ Google Authenticator ） ，首先要解决两个问题。一是安装智能机应用。下面是如何从 Google 应用商店安装的方法：

1. 在你的安卓设备中打开 Google 应用商店
2. 搜索 google 身份验证器 （ Google Authenticator ）
3. 找到并点击有 Google Inc. 标识的应用
4. 点击安装
5. 点击“接受”
6. 等待安装完成

接下来，我们继续在你的 Linux 机器上安装这个认证器。步骤如下：

1. 打开一个终端窗口
2. 输入命令 sudo apt-get install google-authenticator
3. 输入你的 sudo 密码并敲击回车
4. 如果有弹窗提示，输入 y 并敲击回车
5. 等待安装完成

接下来配置使用 google-authenticator 进行登录。

配置

要为登录和 sudo 添加双因子认证只需要编辑一个文件，即 /etc/pam.d/common-auth。打开并找到如下一行：

auth    [success=1 default=ignore]      pam_unix.so nullok_secure

在这行上面添加：

auth required pam_google_authenticator.so

保存并关闭文件。

下一步就是为系统中的每个用户设置 google-authenticator（否则他们就不能登录了）。为了简单起见，我们假设你的系统中有两个用户：jack 和 olivia。首先为 jack 设置（我们假设这是我们一直使用的账户）。

打开一个终端窗口并输入命令 google-authenticator。之后会问你一系列的问题（每个问题你都应该用 y 回答）。问题包括：

• 是否允许更新你的 "/home/jlwallen/.google\_authenticator" 文件 (y/n) y
• 是否禁止多个用户使用同一个认证令牌？这会限制你每 30 秒内只能登录一次，但能增加你注意到甚至防止中间人攻击的可能 (y/n)
• 默认情况下令牌时长为 30 秒即可，为了补偿客户端和服务器之间可能出现的时间偏差，我们允许使用当前时间之前或之后的其它令牌。如果你无法进行时间同步，你可以把这个时间窗口由默认的 1:30 分钟增加到 4 分钟。是否希望如此 (y/n)
• 如果你尝试登录的计算机没有针对暴力破解进行加固，你可以为验证模块启用速率限制。默认情况下，限制攻击者每 30 秒不能尝试登陆超过 3 次。是否启用速率限制 (y/n)

一旦完成了问题回答，你就会看到你的密钥、验证码以及 5 个 紧急刮码 （ emergency scratch code ） 。把这些刮码打印出来并保存。你可以在无法使用手机的时候使用它们（每个刮码仅限使用一次）。密钥用于你在 Google 身份验证器上设置账户，验证码是你能当下就能够立即使用（如果需要）的一次性验证码。

设置应用

现在你已经配置好了用户 jack。在设置用户 olivia 之前，你需要在 Google 身份验证器应用上为 jack 添加账户（LCTT 译注：实际操作情形中，是为 jack 的手机上安装的该应用创建一个账户）。在打开应用，点击“菜单”按钮（右上角三个竖排点）。点击“添加账户”然后点击“输入提供的密钥”。在下一个窗口（图1），你需要输入你运行 google-authenticator 应用时提供的 16 个数字的密钥。给账户取个名字（以便你记住这用于哪个账户），然后点击“添加”。

图1: 在 Google Authenticator 应用上新建账户

（LCTT 译注：Google 身份验证器也可以扫描你在服务器上设置时显示的二维码，而不用手工输入密钥）

添加完账户之后，你就会看到一个 6 个数字的密码，你每次登录或者使用 sudo 的时候都会需要这个密码。

最后，在系统上设置其它账户。正如之前提到的，我们会设置一个叫 olivia 的账户。步骤如下：

1. 打开一个终端窗口
2. 输入命令 sudo su olivia
3. 在智能机上打开 Google 身份验证器
4. 在终端窗口（图2）中输入（应用提供的） 6 位数字验证码并敲击回车
5. 输入你的 sudo 密码并敲击回车
6. 以新用户输入命令 google-authenticator，回答问题并记录生成的密钥和验证码。

成功为 olivia 用户设置好之后，用 google-authenticator 命令，在 Google 身份验证器应用上根据用户信息（和之前为第一个用户添加账户相同）添加一个新的账户。现在你在 Google 身份验证器应用上就会有 jack 和 olivia 两个账户了。（LCTT 译注：在实际操作情形中，通常是为 jack 和 olivia 两个人的手机分别设置。）

图2: 为 sudo 输入 6位数字验证码

好了，就是这些。每次你尝试登录系统（或者使用 sudo） 的时候，在你输入用户密码之前，都会要求你输入提供的 6 位数字验证码。现在你的 Linux 机器就比添加双因子认证之前安全多了。虽然有些人会认为这非常麻烦，我仍然推荐使用，尤其是那些保存了敏感数据的机器。

via: https://www.linux.com/learn/how-set-2-factor-authentication-login-and-sudo

作者：JACK WALLEN 译者：ictlyh 校对：wxy

双因子认证 （ Two-Factor Authentication ） （2FA）是一种生物识别技术，是保护用户在线数据的最强大的方法之一。两位阿姆斯特丹大学的研究人员最新发现了一种新的攻击方式，可以利用这种认证方式的设计缺陷让用户暴露在攻击风险之中。

两位研究人员 Radhesh Krishnan Konoth 和 Victor van der Even 说他们在 2014 年就发现了这个缺陷，已经警告了 Google 和其它的在线服务商，甚至还将他们的发现展示给了一些银行，但是没有人在意。

这两位研究人员解释说，因为到现在为止他们还没有公开具体细节，所以许多人认为这个漏洞并不危险，不值得注意。但是他们有不同的看法。

设备间的应用同步是 2FA 的阿喀琉斯之踵

如他们所解释，攻击并不是由于软件开发缺陷导致，而是由于 2FA 的设计缺陷导致的。现在有个概念叫做“计算无处不在”，让应用和内容在设备之间可以同步，而如果攻击者可以访问受害者的 PC 就会让 2FA 的保护失效。

由此，各种在线服务中的 2FA 认证机制的设计缺陷会让攻击者可以使用诸如 iTunes 或 Google Play 商店来将恶意应用推送到用户的手机上，而不会触发 2FA 认证系统，甚至可以在用户手机的首屏上展示图标。

当然，攻击者首先得能将他的恶意应用通过 Google 和 Apple 的审查放到他们的应用商店，不过最近看起来这种情况已经比较常见了。

此外，这也需要攻击者能够完全访问你的 PC，无论是可以直接接触访问，还是通过恶意软件控制你的设备，以及偷窃了你的账户。

跨设备的应用同步本身并不是问题，问题是实现方式不对

无论如何，风险依然是存在的。研究人员称，使用 2FA 的服务应该要非常注意在不同设备间的应用同步的实现方式。

在问及如何在 2FA 服务中修复这个问题，特别是对于使用这种服务的 Google 而言，研究人员说，最好的办法是“将应用安装过程（即提示用户该应用的所需权限的地方）放到手机上去，而不是将它们放到浏览器中”。

更多的细节，可以看看下述视频：

以及可以参考两位研究人员的论文：“计算无处不在如何干掉了你的基于手机的双因子认证”。

近来很多知名企业都出现了密码泄露，业内对多重认证的呼声也越来越高。在这种多重认证的系统中，用户需要通过两种不同的认证程序：提供他们知道的信息（如 用户名/密码），再借助其他工具提供用户所不知道的信息（如用手机生成的一次性密码）。这种组合方式常叫做双因子认证或者两阶段验证。

为了鼓励广泛采用双因子认证的方式，Google 公司发布了 Google 身份验证器 （ Google Authenticator ） ，一款开源的，可基于开放规则（如 HMAP/ 基于时间）生成一次性密码的软件。这是一款跨平台软件，可运行在 Linux、 Android、 iOS。Google 公司同时也支持插件式鉴别模块PAM （pluggable authentication module），使其能和其他也适用 PAM 进行验证的工具（如 OpenSSH）协同工作。

在本教程中，我们将叙述集成 OpenSSH 和 Google 提供的身份验证器实现如何为 SSH 服务设置双因子认证。我将使用一款 Android 设备来生成一次性密码，本教程中需要两样武器：

(1) 一台运行着 OpenSSH 服务的 Linux 终端，

(2) 一台安卓设备。

在 Linux 系统中安装 Google 身份验证器

第一步需要在运行着 OpenSSH 服务的 Linux 主机上安装 Google 身份验证器。按照如下步骤安装 Google 身份验证器及其PAM模块。

用安装包安装 Google 身份验证器

如果你不想自己构建 Google 身份验证器，在几个 Linux 发行版上有已经编译好的安装包。安装包里面包含 Google 身份验证器 二进制程序和 PAM 模块。

在 Ubuntu 上安装 Google 身份验证器：

$ sudo apt-get install libpam-google-authenticator

在 Fedora 上安装 Google 身份验证器：

$ sudo yum install google-authenticator

在 CentOS 上安装 Google 身份验证器 ，需要首先启用 EPEL 软件库，然后运行如下命令（LCTT 译注：EPEL 库中可能已经删除了该软件包，请使用源代码编译方式安装）：

$ sudo yum install google-authenticator

如果不想使用已经编译好的安装包，或者你的 Linux 发行版不在此列，可以自行编译：

在 Linux 上编译 Google 身份验证器

首先，安装构建 Google 身份验证器所需的软件包。

在 Debian、 Ubuntu 或 Linux Mint 上：

$ sudo apt-get install wget make gcc libpam0g-dev

在 CentOS、 Fedora 或 RHEL上：

$ sudo yum install wget make gcc pam-devel

然后下载 Google 身份验证器的源代码，并按如下命令编译（已经从 Google Code 迁移到了 Github）。

$ wget https://github.com/google/google-authenticator/archive/master.zip
$ unzip master.zip
$ cd google-authenticator-master/libpam
$ ./bootstrap.sh
$ ./configure
$ make

如果构建成功，你会在目录中看到 pam_google_authenticator.so 和 google-authenticator 两个文件。

最后，将 Google 身份验证器安装到合适位置。默认会安装到 /usr/local/lib/security 下，根据你的系统不同，你可能需要将其符号链接到 pam 库的位置（比如 CentOS 7 会在 /usr/lib64/security）。

$ sudo make install

排错

当编译 Google 身份验证器时出现如下错误：

fatal error: security/pam_appl.h: No such file or directory

要修复这个问题，请安装如下依赖包。

在 Debian、 Ubuntu 或 Linux Mint 上：

$ sudo apt-get install libpam0g-dev

在 CentOS、 Fedora 或 RHEL 上：

$ sudo yum install pam-devel

当 Google 身份验证器安装好后，你需要在 Linux 主机上创建验证密钥，并且在安卓设备上注册，注意这项配置操作是一次性的。我们将详细叙述如何完成这些操作：

生成验证密钥

在 Linux 主机上运行 Google 身份验证器：

$ google-authenticator 

你将看到一个二维码，它使用如下图形表示我们数字形态的密钥。一会我们要用到它在安卓设备上完成配置。

Google 身份验证器会问一些问题，如果你不确定，就回答 Y。这个应急备用验证码（图中 emergency scratch codes）可以在你由于丢失了绑定的安卓设备的情况下（所以不能得到生成的一次性密码）恢复访问。最好将应急备用验证码妥善保存。

在安卓设备上运行 Google 身份验证器

我们需要在安卓设备上安装 Google 身份验证器应用才能完成双因子认证，到 Google Play 下载并安装一个。在安卓设备上运行 Google 身份验证器，找到下图所示中的配置菜单。

你可以选择“Scan a barcode” 或者“Enter provided key”选项。“Scan a barcode”允许你扫描二维码来完成密钥的输入，在此可能需要先安装扫描软件 Barcode Scanner 应用。如果选择“Enter provided key”选项，你可以使用键盘输入验证密钥，如下图所示：

无论采用上述两种选项的任何方式，一旦成功，你将看到注册成功提示和一次性密码，如下图所示：

为 SSH 服务器用 Google 身份验证器

最终我们需要修改两个文件来完成集成 Google 身份验证器和 OpenSSH 服务这临门一脚。

首先，修改 PAM 配置文件，命令和需添加的内容如下：

$ sudo vi /etc/pam.d/sshd 

auth required pam_google_authenticator.so

然后打开 SSH 配置文件，找到参数 ChallengeResponseAuthentication，并启用它。

$ sudo vi /etc/ssh/sshd_config 

ChallengeResponseAuthentication yes

最后，重启 SSH 服务。

在 Ubuntu、 Debian 和 Linux Mint 上：

$ sudo service ssh restart 

在 Fedora （或 CentOS/RHEL 7）上：

$ sudo systemctl restart sshd 

在 CentOS 6.x或 RHEL 6.x 上：

$ sudo service sshd restart 

不要退出当前的 ssh 链接，大多数 Linux 发行版重启 ssh 服务并不会中断当前已经建立的 ssh 连接。另外开个窗口去重新连接 ssh 服务，如果遇到问题，还可以在原来的 ssh 连接下修改和恢复。

验证双因子认证

在绑定的安卓设备上运行 Google 身份验证器，获得一个一次性验证码，该验证码 30 秒内有效，一旦过期，将重新生成一个新的验证码。

现在和往常一样，使用 SSH 登录终端

$ ssh user@ssh_server 

当提示你输入验证码的时候，输入我们刚获得的验证码。验证成功后，再输入 SSH 的登录密码。

双因子认证通过在用户密码前新增一层来有效的保护我们脆弱的用户密码。你可以使用 Google 身份验证器来保护我们其他的密码，如 Google 账户、GitHub、WordPress.com、Dropbox.com、Outlook.com等等。是否使用这项技术，取决于我们自己，但采用双因子认证已经是行业的大趋势了。

via: http://xmodulo.com/2014/07/two-factor-authentication-ssh-login-linux.html

译者：nd0104 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出