Kertakäyttösalasana SSH:n?

[Jagster]

Juu, taaskaan en tiedä aiheesta mitään...

Minulla Raspi routerissa kiinni ja siitä sitten pääsee SSH:lla eteenpäin sisäverkon koneeseen. Jumppaamalla pääsee sinne minne haluaa ilman ongelmia, mutta nyt mietin skenaariota, jossa kirjaudun vieraalta koneelta.

Olen vaikka nettikahvilassa. Avaan SSH:n Raspiin, joka kysyy salasanaa päästääkseen minut hyppäämään perille. Minun on pakko kirjautua sinne salasanalla, koska avaimen käyttö ei ole mahdollista. Koska Raspilta taasen mennään SSH-avaimella perille, niin hyökkääjänhän ei tarvitse saada tietoonsa kuin Raspin salasanan päästäkseen eteenpäin.

Miten siis suojaan salasanan? Enhän minä tiedä tiedä mitä siinä käyttämässäni koneessa on ja SSH suojaa vain liikenteen. Joten pystyykö asentamaan jonkun/useita kertakäyttösalanoja vai miten moinen hoidetaan - ei vaan käytetä kuin omia laitteita?

Oikeastaan koko jumpbox/proxyjump ei liittynytkään mitenkään asiaan, koska kyse on koko ajan siitä yhdestä koneesta, johon on kirjauduttava salasanalla 

[Tomin]

Voisit esimerkiksi laittaa TOTP (time-based one-time password) -tunnistautumisen sinne toiseksi tunnistautumismenetelmäksi, jolloin kirjautuessa täytyy katsoa tuo koodi sovelluksesta ja antaa se varsinaisen salasanan lisäksi. Sovellus asennetaan yleensä omaan älypuhelimeen. TOTP-salasanat ovat olemassa vain vähän aikaa, joten niiden kopioimisesta ei ole hyötyä kuin hetkeksi. Alla ohje käyttöönotosta, mutta vaikka ohje neuvoo käyttämään Google Authenticatoria, sitä ei ole pakko käyttää vaan tuohon käy mikä vain muukin normaali TOTP-sovellus.
https://www.raspberrypi.org/blog/setting-up-two-factor-authentication-on-your-raspberry-pi/

[Jagster]

Hemmetti, olenpa rajoittunut. Ei tullut edes pieleen mieleenikään ajatella asiaa kaksivaiheisen kautta. Kiitos, testaillaan.