如何启用密码*和*密码+Yubikey 作为给定用户帐户的身份验证方法?

如何启用密码*和*密码+Yubikey 作为给定用户帐户的身份验证方法?

语境

我很懒。但我也(有点)担心安全问题。

因此,在我的机器(运行 Fedora)上,我希望能够:

  • 使用强密码登录我的会话,
  • 当我的 Yubikey 插入时,使用快速输入密码登录我的会话。

原因有 3 个:

  1. 我希望能够仅使用密码登录到我的机器(如果我丢失了 Yubikey,或者如果我在床上很舒服并且我不想起床,请抓住夹克里的 Yubikey - 请记住,我'我很懒)。
  2. 然而,如果我插入了 Yubikey(例如在工作中),我只想使用快速输入的密码登录(记住,我很懒),因为我经常锁定我的会话 - 所以必须重新登录。
  3. 不过,我不想单独使用我的 Yubikey(没有密码),因为当我锁定会话时我可能会忘记拔掉钥匙(懒惰......并且担心安全)。

问题

如何设置我的用户帐户,以便我可以使用这两种不同的身份验证方法之一登录?

  • 仅密码短语,
  • 密码+Yubikey

答案1

这是我到目前为止提出的解决策略:

  1. 一个人可以创建多个具有相同 UID 的帐户(参见为什么我可以创建具有相同 UID 的用户)——即从操作系统的角度来看,两个帐户都是相同的用户,但我们可以为每个帐户采用单独的身份验证方法(一个使用密码,另一个使用 Yubikey + 密码)。这是否是一个好主意正在争论
  2. 有可能需要 Yubikey 和密码作为身份验证策略。它定义在Linux PAM系统。 (也可以只需要密码!)

目前我还没有解决的点:

  • 如何分配特定的 PAM 规则每个帐户(参见上面第 1 点)?
  • 如何在 GDM(GNOME 显示管理器 — 即 Fedora 中进行身份验证的 GUI)中实现 Yubikey + 密码短语身份验证策略?

(一旦我在这些问题上取得进展,我将更新这篇文章。)

相关内容