Originally published at: http://korben.info/activer-lauthentification-2-etapes-serveur-ssh.html
Je le pète et le répète assez souvent : Quand vous le pouvez, pensez à activer l’authentification en 2 étapes (2FA) sur vos sites web préférés. Petit rappel pour les nouveaux dans le game, l’authentification en 2 étapes permet d’ajouter en plus du mot de passe (quelque chose que vous connaissez), un code généré par…
ça fait un moment que j’avais en tête de faire ça ! Merci pour l’astuce !
Très bon truc, c’est vrai que ce genre d’authentification est très pratique.
En revanche, je pense que je passerai mon tour pour ce service, car bah… si j’ai bien compris, il y a des dépendances permanentes à Google. Et ça je suis pas très chaud 
Nan, pas besoin. T’as un algo pour calculer le code à partir de tocken et du timestamp (python : https://github.com/pyotp/pyotp )
1 « J'aime »
Google te donne juste la clé privée et le support d’Authenticator. Donc au mieux ils peuvent connaitre le code en cours mais pas très utile seul !
Les algo de types token sont prédictibles, du coup avec la clé tu peux prévoir le code que tu auras demain à une heure donné, pas besoin d’un accès à un service de Google. Tu peux dev ou récupérer une appli similaire à authenticator et générer ta propre clé, mais c’est se faire ch*** pour peu 
Pour ceux qui veulent éviter google, il y a une app proposée par RedHat: FreeOTP Authenticator Android, iOS.
Fait comment l’app de google mais en mieux 
Je viens de test , aucun impact sur mon authentification par clé . Du coup c’est utile que si j’autorise l’authentification par mdp ?
Même constat que toi, il faut pousser un peu pour activer la 2FA clé publique / OTP. Rien de bien méchant toutefois, j’ai suivi ce post et ça marche très bien :
Juste à noter (j’ai galéré un peu avec ça) que la directive “AuthenticationMethods publickey,keyboard-interactive” nécessite une version d’openSSH récente. Une fois l’upgrade vers la 6.7 effectuée, les quelques modifications indiquées dans le post suffisent à activer la 2FA clé publique / OTP.
Sinon il y a aussi Authy pour SSH, le soft est un peu vieux mais fonctionne toujours bien (et open source pour cette partie).
Ca fait quand même pas mal! Mieux vaut trouver une alternative qui évite google.
Il y a des 10ene d’implémentations de google authenticator qui ne sont pas faites par google.
(Il faut juste chercher TOTP dans play ou apple store). Pas de soucis de ce coté.
Mais il y a rien de plus lourdingue que de taper ces codes. Une autre bonne solution serait le “google prompt”. Mais cette fois, google a vraiment la main sur ton authentification.
Une autre alternative est duo https://duo.com/docs/duounix mais pareil, on peut pas se passer des leurs serveurs.
Si quelqu’un connait une alternative self hosted, je suis preneur.