我正在尝试在我的 ubuntu 机器上实现 2FA 登录以提高安全性以及加密的主文件夹。我选择使用谷歌验证器 pam 模块,因为它也可以离线工作。我已经关注了谷歌的 GitHub 存储库https://github.com/google/google-authenticator/blob/f2db05c52884e4d6c3894f5fd2cf10f0f686aec2/libpam/README.md上的文档,但在我看来,您可以轻松地绕过 MFA:
- 设置保存在 .google_authenticator 文件中
- 设置文件包含您的密钥,您可以使用该密钥将帐户添加到 google 身份验证器应用程序以接收 OTP 令牌
- .google_authenticator 文件必须位于您的加密文件夹之外,否则您将无法登录
- 因此,如果您直接启动到 root shell(恢复)。您可以从文件中获取密钥,从而绕过第二个因素。
因此,我有以下问题:
- 我在谷歌身份验证器设置中遗漏了什么吗?
- 是否有任何其他解决方案可以离线工作并且不能轻易绕过?