Estoy investigando las formas de implementar un servidor de autenticación con capacidad para 2FA. Quiero poder validar una contraseña corta junto con un TOTP (probablemente con la autenticación de Google). Pero quiero admitir algunas aplicaciones heredadas que solo tienen la capacidad de emitir una solicitud de contraseña única / aceptar una única línea de entrada para la contraseña.
¿Es posible manejar {staticPassword} + {OTP} como una sola cadena enviada por el usuario usando módulos PAM listos para usar?
Observo que PAM tiene forward_pass / use_first_pass pero, por lo que he leído, parece que tienen como objetivo probar la misma contraseña con diferentes autenticadores. No he encontrado nada que me permita extraer una parte de la contraseña para aplicarla a un autenticador.