pam_usb

http://help.ubuntu.ru/wiki/pam_usb

PAM USB – модуль для PAM предоставляющий возможность аутентификации пользователя в ОС посредством «Flash»-накопителя в качестве ключа. Также он предоставляет функционал по блокированию/разблокированию рабочего стола пользователя при отключении/подключении накопителя-ключа. Для идентификации накопителя используется информация заложенная производителем и временные данные, которые записываются на этот накопитель, так что, даже при наличии накопителя с полностью идентичными данными производителя, аутентификация пользователя не произойдет.

А данные, записанные производителем насколько сложно подделать? Для этого нужно каким-то образом вскрывать корпус ключа-подделки и цепляться программатором или чем-то подобным?

А схему с 2 паролями можно сделать?

Можно, придётся немного пописать конфиги PAM'а и удостовериться, что твой DM или /bin/login корректно это обрабатывает.

Его уже выбросили из Debian, оказывается.

А данные, записанные производителем насколько сложно подделать? Для этого нужно каким-то образом вскрывать корпус ключа-подделки и цепляться программатором или чем-то подобным?

Я вот тут в исходниках FAQ нашёл:

====== Frequently Asked Questions ======

Q: Can I use my USB drive as usual ?

A: Yes. pam_usb only occupies a few kilobytes of the device's space.

Q: What if I lose or break my USB key ? Will I be able to log back in ?

A: Sure. Your usual password will be asked.

Q: How is the USB key identified ?

A: The USB device is both identified by its manufacturer attributes (vendor, product, serial number) and by a few random bytes called one time pads that pam_usb writes and updates on the USB device upon authentication.

Q: What if someone copies the content of my flash drive ? Will she/he be able to log into my account ?

A: Even if that person manages to fake your device's attributes (vendor,

product, serial number, UUID), the one time pad they copied will be outdated as soon as you authenticate.

Q: Is my USB drive compatible with pam_usb ?

A: About every USB flash drive will work with pam_usb.

Q: I can't authenticate anymore, pam_usb gives me the following error: Pad checking failed. What should I do ?

A: It's a machine/device synchronization issue. To get rid of that error you have to reset the pads of your system by removing the .pamusb folder located on your home (/root/.pamusb/, /home/foobar/.pamusb/, etc).

tl;dr: достаточно купить такую же флешку и скопировать. Но надо успеть до компа раньше владельца оригинальной флешки.

А, то есть там одноразовые ключи. Спасибо, так значительно спокойнее. Если еще разобраться с конфигами PAM, вообще отлично будет.

Пользовался какое-то время раньше. Глючная штука, устаревшие зависимости, автор забросил проект. Не рекомендую. Если ощущаешь необходимость - рекомендую навелосипедить это дело заново на чём-то типа питона (я бы присоединился). По сути, не нужно ничего, кроме udev-хуков на вставку и вытягивание флехи, и pam_script для проверки наличия подходящего ключа на подходящих носителях. В сабже же навёрнуто использование udisks (сейчас в ходу udisks2) и dbus.