GentooForum.de

Für SSH würde ich Dir ssh keys empfehlen. Die Passwort-Authentifizierung kannst Du im SSH-Server dann komplett abklemmen.
Mit nur- Key authentifizierung kommst Du nur dann auf das System, wenn Du einen erlaubten Key dabei hast. Der Key ist standardmäßig zusätzlich mit Passwort geschützt.
HTTPs: Hier kannst Du auch den HTTP/HTTPs Port in der Firewall dicht machen und nur per SSH-Tunnel nutzen. Sprich, HTTP geht nur mit einer bestehenden SSH-Verbindung.

Für OTP ist spezielle Hardware erforderlich, alle rein Softwarelösungen, mit denen ich bisher konfrontiert wurde, kannst du idR knicken. (Musste selbst so was zwar noch nicht in Betrieb nehmen, aber nutzen).

Grobes Prinzip:
- 2 oder mehr Zeitgeber werden miteinander synchronisiert
- 2 oder mehr (Zufalls-)Zahlengeneratoren, die an den Zeitgebern stecken, werden gleichzeitig mit dem gleichen Startwert initialisiert. (Oder zumindest gegen den Master synchronisiert)
- Mit den mobilen Zahlengeneratoren kannst du dir jetzt ein Einmalpasswort geben lassen, dass auch der Master, kennt.

Ich denke, wenn man sich das Prinzip mal auf der Zunge zergehen lässt, wird schnell klar, dass reine Softwarelösungen da mehr schlecht, als recht machen

Falls du dich trotzdem dran versuchen willst, bei Wikipedia sind mehrere Technologien gelistet, auch welche, bei denen z.B. über ein Smartphone der One Time Key erzeugt wird.

mfg pyjo

Zitat

SSH-key geht auch bei einem unsicheren Client nicht ...

Ok. Unsichere Clients... Der Key ist ja Passwort-geschützt. D.h. es muss der Key + Passwort geklaut werden.
Du hast auch noch die Möglichkeit mit einer Live-CD auf dem unsicheren Client zu arbeiten. Dann hast Du eine sichere Umgebung.
Oder Du nutzt Putty-Portable. Damit ist schon mal sichergestellt, dass der Key nicht auf dem fremden Rechner abgelegt wird. An sonsten, Du kannst auch manuell öfter das Passwort oder den Key ändern.

Was hälst Du von der folgenden Idee:

Du machst ein Skript auf Deinem Webserver was beim Aufruf folgendes tut:
- Zufälliges Passwort generieren und setzen
- Mail mit dem Passwort an ein Mail2sms Gateway senden. Somit kriegst Du das Passwort per SMS
- 10 Minuten warten
- Passwort wieder zufällig ändern.

Somit schaffst Du ein Passwort-Ticket System.
Der Zwei letzte Schritt schaffen eine begrenzte Gültigkeit des Passworts. Aber bestehende Verbindungen werden dadurch nicht abgebrochen. Somit hättest Du 10 Minuten Zeit, dich mit dem Passwort einzuloggen.

Du kannst dieses Skript mit einem statischem Passwort schützen, damit nicht jeder, der die URL gesehen hat dein Handy mit Passwort-SMS'en zumüllt.