Менеджер паролей pass. Одноразовые пароли
Одноразовые пароли в менеджере паролей pass.
Содержание
1 Общая информация
2 Формат файла
- Токен можно хранить как в основном файле с паролем, так и в отдельном файле.
- Хранение в том же файле:
git-passwordstore/website/yourLogin
.Формат может быть следующий:
- Формат
totp:
поддерживается не всеми программами работы с паролями.
- Формат
Можно хранить и в виде указателя на URL (этот формат является предпочтительным):
- Хранение в отдельном файле
local-passwordstore/website/yourOtp
.- Только в виде указателя на URL:
1otpauth://totp/Website:yourLogin?secret=YourOtpTokenBase32Encoded&issuer=Website
- Только в виде указателя на URL:
- Например, URL для github имеет вид:
1otpauth://totp/GitHub:<username>?secret=<secret>&issuer=GitHub
3 Аппаратный токен
- В идеале секретный ключ, способный расшифровать ваши секреты OTP, должен храниться на аппаратном токене, для расшифровки которого требуется какое-то взаимодействие с пользователем.
- Это достигается путем настройки второго хранилища без использования тех же открытых ключей, что и для основного хранилища паролей.
- Открытые ключи, используемые для вашего хранилища OTP, в идеале должны храниться только на аппаратных токенах.
4 pass-otp
- Репозиторий: https://github.com/tadfisher/pass-otp
5 Добавить токен в запись
- Ввести токен с терминала (скрывая ввод):
1pass otp insert totp-secret
- Ввести токен с терминала (повторяя ввод):
1pass otp insert -e totp-secret
- Направьте otpauth://URI в файл паролей:
1pass otp insert totp-secret < totp-secret.txt
- Декодировать QR-изображения (используя
zbar
). - Декодировать QR, получаемый из веб-камеры. Файл пароля будет заменён или создан:
1zbarcam -q --raw | pass otp insert totp-secret
- Из буфера обмена (для Wayland):
1wl-paste | zbarimg -q --raw - | pass otp append google/example@gmail.com
6 Использование токена
- Сгенерировать код 2FA, используя токен:
1pass otp <totp-secret>
- Отобразить QR-код для токена OTP:
1pass otp uri -q <totp-secret>