Менеджер паролей pass. Одноразовые пароли

Одноразовые пароли в менеджере паролей pass.

Содержание

1 Общая информация

2 Формат файла

  • Токен можно хранить как в основном файле с паролем, так и в отдельном файле.
  • Хранение в том же файле: git-passwordstore/website/yourLogin.
    • Формат может быть следующий:

      1yourPassword
      2---
      3login: yourLogin
      4url: https://website.com
      5totp: YourOtpTokenBase32Encoded
      
      • Формат totp: поддерживается не всеми программами работы с паролями.
    • Можно хранить и в виде указателя на URL (этот формат является предпочтительным):

      1yourPassword
      2---
      3login: yourLogin
      4url: https://website.com
      5otpauth://totp/Website:yourLogin?secret=YourOtpTokenBase32Encoded&issuer=Website
      
  • Хранение в отдельном файле local-passwordstore/website/yourOtp.
    • Только в виде указателя на URL:
      1otpauth://totp/Website:yourLogin?secret=YourOtpTokenBase32Encoded&issuer=Website
      
  • Например, URL для github имеет вид:
    1otpauth://totp/GitHub:<username>?secret=<secret>&issuer=GitHub
    

3 Аппаратный токен

  • В идеале секретный ключ, способный расшифровать ваши секреты OTP, должен храниться на аппаратном токене, для расшифровки которого требуется какое-то взаимодействие с пользователем.
  • Это достигается путем настройки второго хранилища без использования тех же открытых ключей, что и для основного хранилища паролей.
  • Открытые ключи, используемые для вашего хранилища OTP, в идеале должны храниться только на аппаратных токенах.

4 pass-otp

5 Добавить токен в запись

  • Ввести токен с терминала (скрывая ввод):
    1pass otp insert totp-secret
    
  • Ввести токен с терминала (повторяя ввод):
    1pass otp insert -e totp-secret
    
  • Направьте otpauth://URI в файл паролей:
    1pass otp insert totp-secret < totp-secret.txt
    
  • Декодировать QR-изображения (используя zbar).
    • Файл пароля будет заменён или создан:
      1zbarimg -q --raw qrcode.png | pass otp insert totp-secret
      
    • Добавление к существующему файлу паролей:
      1zbarimg -q --raw google-qrcode.png | pass otp append google/example@gmail.com
      
  • Декодировать QR, получаемый из веб-камеры. Файл пароля будет заменён или создан:
    1zbarcam -q --raw | pass otp insert totp-secret
    
  • Из буфера обмена (для Wayland):
    1wl-paste | zbarimg -q --raw - | pass otp append google/example@gmail.com
    

6 Использование токена

  • Сгенерировать код 2FA, используя токен:
    1pass otp <totp-secret>
    
  • Отобразить QR-код для токена OTP:
    1pass otp uri -q <totp-secret>
    

Дмитрий Сергеевич Кулябов
Дмитрий Сергеевич Кулябов
Профессор кафедры теории вероятностей и кибербезопасности

Мои научные интересы включают физику, администрирование Unix и сетей.

Похожие