A ideia é interessante e não demoraria muito para ser implementada. O serviço poderia gerar uma chave RSA ou ECDSA comum (usando ssh-keygen
ou openssl
), anexar a parte pública a authorized_keys
(com um comentário de "expiração automática") e seu ~/.profile
ou sshrc
poderia limpar automaticamente essas chaves ao fazer o login.
No entanto, você daria sem vantagem em segurança, pois você ainda precisa autenticar, desta vez em um site - usando, presumivelmente, o mesmo nome de usuário e senha de texto simples que teria dado ao SSH ...
Mesmo se você usar SSL para evitar a transferência da senha em texto simples, o site ainda permanecerá um pouco menos seguro do que os logins SSH diretos; você teria que obter e periodicamente renovar um certificado SSL verificado para evitar ataques MitM, e não é tão fácil quanto carregar apenas a impressão digital SSH no seu bolso.)
Antes de sugerir que você poderia usar algum tipo de autenticação OTP para o site, observarei que também é possível usar o OTP para conexões SSH. Em particular, o Google Authenticator é fornecido com um módulo PAM para seu servidor e aplicativos geradores de OTP para os telefones celulares mais populares. Outro serviço, a Duo Security , usa uma chamada telefônica para autenticar. Finalmente, módulos independentes como o OPIE existem também.