Quais são as desvantagens de se usar a autenticação de dois fatores no SSH, como o Authy-SSH?

Você precisa decidir se deseja fazer 2FA sozinho se quiser confiar em uma entidade externa. Isso não é apenas para não confiar, mas para não confiar em nenhum invasor, que possa interceptar a solicitação de autenticação.

Sempre que você quiser fazer o login via SSH, uma solicitação de API HTTP é enviada para authy.com. Authy decide se o acesso é concedido ou não.

Existem outros serviços hospedados como o authy, mas também existem soluções que você pode executar sozinho e, assim, controlar a decisão de autenticação. Você pode usar o módulo do Google Authentication PAM ou o Yubikey, que funcionam localmente. Ou você pode hospedar seu próprio servidor de autenticação como privacyIDEA . (Disclaimer: Eu sou um desenvolvedor de privacyIDEA).

O que também soa um pouco estranho para eu usar o ForceCommand e não fornecer um módulo PAM para ser integrado na pilha PAM. Se foi integrado na pilha de pam, você poderá fazer cenários de backup como: se a OTP falhar ainda autenticar com senha ou com a chave ssh ...

Você não pode bloqueá-lo quando sair da sincronia. Existem meios para ressincronizar. Você não pode trancá-lo, quando você perder o seu telefone. Você sempre pode pedir authy para dizer "sim" para a próxima solicitação de autenticação - mas parece que; -)

Autenticação baseada em chave com chaves amarradas (ou seja, chaves restritas pelo intervalo de IPs das quais podem ser usadas e / ou o comando que podem ser usadas para invocar) é uma maneira bastante segura de ser capaz de usar SSH- recursos baseados em scripts. Se você for totalmente 2FA em sshd , perderá a capacidade de ter tarefas automatizadas acessando recursos sem a intervenção do operador.