S/Key 以外的 Linux 上的真實一次性密碼 (OTP)？

當然，從不受信任的電腦登錄到遠端系統不是一個好主意。但有時這顯然是必要的。暴露未加密的 SSH 密鑰文件當然是不可取的。輸入正常密碼也沒有。

S/Key 似乎是“通常”的解決方案，但它需要嚴格遵循列表中的密碼順序。這對於共享帳戶是不可取的，因為所有各方都需要同步使用列表。

有什麼方法可以製作對使用順序沒有要求的 OTP？其他想法？

背景：兩個管理員共享一個帳戶。應給另一個人一個“緊急信封”，該信封已密封並包含該帳戶的資訊。只有在其他管理員不可用的情況下才允許打破封印。

我們為此使用OTPW。簡單的實現。易於複製密碼列表。系統按數字請求密碼，因此嘗試保持列表同步沒有問題。

S/Key 非常適合這種情況，但您需要做更多的工作。

為每個緊急信封創建特殊帳戶。這些帳戶被添加到 sudoers 並且可以假定為 root。這為您提供了您應該擁有的審計跟踪（每個信封一個帳戶，每個使用者一個信封）和您需要的靈活性。

緊急情況發生後，管理員必須帶回下一個密碼的信封，以便為您提供審計線索。

引用自：https://serverfault.com/questions/60323