Менеджер паролей pass. Одноразовые пароли

2023-08-24 · 2 мин. для прочтения

Одноразовые пароли в менеджере паролей pass.

Содержание

1 Общая информация

2 Формат файла

  • Токен можно хранить как в основном файле с паролем, так и в отдельном файле.
  • Хранение в том же файле: git-passwordstore/website/yourLogin.

    • Формат может быть следующий:

      yourPassword
---
login: yourLogin
url: https://website.com
totp: YourOtpTokenBase32Encoded
      • Формат totp: поддерживается не всеми программами работы с паролями.

    • Можно хранить и в виде указателя на URL (этот формат является предпочтительным):

      yourPassword
---
login: yourLogin
url: https://website.com
otpauth://totp/Website:yourLogin?secret=YourOtpTokenBase32Encoded&issuer=Website
  • Хранение в отдельном файле local-passwordstore/website/yourOtp.
    • Только в виде указателя на URL:
      otpauth://totp/Website:yourLogin?secret=YourOtpTokenBase32Encoded&issuer=Website
  • Например, URL для github имеет вид:
    otpauth://totp/GitHub:<username>?secret=<secret>&issuer=GitHub

3 Аппаратный токен

  • В идеале секретный ключ, способный расшифровать ваши секреты OTP, должен храниться на аппаратном токене, для расшифровки которого требуется какое-то взаимодействие с пользователем.
  • Это достигается путем настройки второго хранилища без использования тех же открытых ключей, что и для основного хранилища паролей.
  • Открытые ключи, используемые для вашего хранилища OTP, в идеале должны храниться только на аппаратных токенах.

4 pass-otp

5 Добавить токен в запись

  • Ввести токен с терминала (скрывая ввод):
    pass otp insert totp-secret
  • Ввести токен с терминала (повторяя ввод):
    pass otp insert -e totp-secret
  • Направьте otpauth://URI в файл паролей:
    pass otp insert totp-secret < totp-secret.txt
  • Декодировать QR-изображения (используя zbar).
    • Файл пароля будет заменён или создан:
      zbarimg -q --raw qrcode.png | pass otp insert totp-secret
    • Добавление к существующему файлу паролей:
      zbarimg -q --raw google-qrcode.png | pass otp append google/example@gmail.com
  • Декодировать QR, получаемый из веб-камеры. Файл пароля будет заменён или создан:
    zbarcam -q --raw | pass otp insert totp-secret
  • Из буфера обмена (для Wayland):
    wl-paste | zbarimg -q --raw - | pass otp append google/example@gmail.com

6 Использование токена

  • Сгенерировать код 2FA, используя токен:
    pass otp <totp-secret>
  • Отобразить QR-код для токена OTP:
    pass otp uri -q <totp-secret>
Security Sysadmin
Дмитрий Сергеевич Кулябов
Authors
Дмитрий Сергеевич Кулябов
Профессор кафедры теории вероятностей и кибербезопасности
Мои научные интересы включают физику, администрирование Unix и сетей.