User szempontból nem teljesen 2 faktor, igaz. Abból az elgondolásból az, hogy egy szűk csoport (cég dolgozói) tudnak csak szóba állni a szerverrel, amikor bemutatták az aktuális időszakra vonatkozó certjüket, amit a szerver CA írt alá - akárhogy is, ez egy hitelesítés a szerver felé.
Majd bemondják a nevüket, jelszavukat - második hitelesítés a szerver felé.
Persze lehet, hogy csak játék a szakmai kifejezéseken. Én azért nyugodtabban alszom, hogy a név-jelszó login lehetőségig a nagy Internet népe nem jut el, csak egy engedélyezett szűk csoport.
Felmerült régen, hogy userenként lehetne saját cert, de nem tudom mennyiben növeli a biztonságot. A hitelesítésben a user beazonosítását egyébként is a név-jelszó páros adja, amit SQL-ből kényelmesen lehet kezelni. Statikus cert fájlok userenként nagyobb kényelmetlenségnek tűnt, mint így: egy közös cégre vonatkozó cert.
Össze lehetne kötni auth scriptben, hogy az adott usernek kiadott cert név + login név-jelszó páros együtt adjon érvényes belépést, de nem látom, hol ad pluszt a biztonságban?
Na jó egy eset: kikerül a kulcs egy gépről és nem tudja annak a gép tulajának a vpn loginját, akkor közös kulcsnál tud más user loginnal is próbálkozni. Egyedi kulcsnál meg nem tud. Csak a kulcshoz rendelt login adatokkal, amit nem tud így lyukra fut. Ez az eset lehet, de ha kiderül (ha kiderül), hogy illetéktelen kezekbe került a gép, akkor új global kulcsot adunk ki illetve az érintett laptop tulaj vpn jelszavát megváltoztatjuk.
Ha a kulcsot vitte, idegen gépen próbálkozik a MAC védelem megfogja. Én ezt is egy hitelesítésnek tekintem, még ha statikus is. A gépet hitelesítem, mint jóváhagyott biztonságos gép. Ha ellopták a gépet, a MAC-et töröljük a user alól, az a MAC máshova meg nem érvényes.
Ezt tovább göngyölve: ha a MAC védelem a jövőben is tartható, akkor lopott kulcs+login birtokában sem tud senki belépni nem jóváhagyott gépről.
Ha csak nem gondol arra, hogy itt a surmó IT-sok a MAC-et is nézik, ez már kicsi esély szerintem.
Egyébként gondolkozunk olyan irányon is, hogy openvpn client csatlakozás után futtasson egy scriptet (erre képes), ami különféle gép adatokat begyűjt (cpu, hdd, ram) és ebből összegyúr egy hash-t. Ez a gép lenyomata és feladja csatlakozáskor. Ezt tekintjük gép hitelesítésnek. Ez felvet még azért még pár problémát, nincs még kitaposva.