====== 2-Faktor-Authentifizierung für Screensaver und Sudo ======
Der Fido-Key kann das Wiedereinloggen bei gesperrtem Bildschirmschoner und die Benutzung von sudo vereinfachen.

Voraussetzung: Installation von libpam-u2f

  sudo apt install libpam-u2f
  
In ''/etc/pam.d'' wird die Datei ''u2f-auth'' mit folgendem Inhalt neu angelegt: 

  ##  Ersatz fuer common-auth ##
  ##    U2F-Token / Passwort  ##
  # erst: U2F-Token
  auth	[success=2 default=ignore] 	pam_u2f.so 
  # Fallback -- funktioniert immer: Passwort
  auth	[success=1 default=ignore]	pam_unix.so	try_first_pass 
  # FAIL
  auth	requisite			pam_deny.so
  # SUCCESSS
  auth    required                        pam_permit.so 
  
und die Datei ''sudo'' (nach Kopie des Originals) so verändert:
  #%PAM-1.0
  session    required   pam_env.so readenv=1 user_readenv=0
  session    required   pam_env.so readenv=1 envfile=/etc/default/locale user_readenv=0
  #@include common-auth
  @include u2f-auth
  @include common-account
  @include common-session-noninteractive
  
In der Datei ''xscreensaver'' wird ebenfalls common-auth auskommentiert und durch ''u2f-auth'' ersetzt
  #
  # /etc/pam.d/xscreensaver - PAM behavior for xscreensaver
  #
  #@include common-auth
  @include u2f-auth
  @include common-account

Die Grundlagen dafür finden sich in folgenden c't-Artikeln: 
  * {{ :computer:ubuntu:pin_gesichtserkennung_zweiter_faktor_komfortable_linux-authentifizierung_c_t_magazin.pdf |}}
  * {{ :computer:ubuntu:linux_mit_dem_gesicht_entsperren_c_t_magazin.pdf |}}
  * {{ :computer:ubuntu:linux_komfortabel_und_sicher_entsperren_c_t_magazin.pdf |}}