OpenSSH 8.2 voegt ondersteuning toe voor FIDO2 en FIDO U2F-hardwaretokens voor tweefactorauthenticatie.

Je genereert eerst een ssh-sleutel van het type ecdsa-sk terwijl je het hardwaretoken via usb aangesloten hebt:
ssh-keygen -t ecdsa-sk -f ~/.ssh/id_ecdsa_sk
Daarna dien je op de meeste tokens een knop in te drukken. Er wordt dan een sleutelpaar aangemaakt, optioneel versleuteld met een passphrase. Dit sleutelpaar kun je zoals elk ander ssh-sleutelpaar gebruiken, dus ook in authorized_keys en met ssh-agent, maar het is alleen bruikbaar wanneer het hardwaretoken aangesloten is: het bestand id_ecdsa_sk is geen geheime sleutel maar een getal dat in het hardwaretoken gecombineerd wordt met een uniek getal dat de hardware niet verlaat om zo de echte geheime sleutel te genereren.
OpenSSH verzorgt niet zelf de communicatie met het hardwaretoken, maar dat gebeurt via een bibliotheek die je in sshd_config specificeert bij SecurityProvider. De standaard meegeleverde bibliotheek (SecurityKeyProvider=internal) ondersteunt usb-tokens, maar op dezelfde manier kun je ook tokens via bluetooth of nfc ondersteunen.
Tot de compatibele hardwaretokens behoren de YubiKey-modellen met ondersteuning voor FIDO2 en FIDO U2F, maar ook de Trezor Model T, een cryptowallet met scherm dat je toont welke identiteit je voor authenticatie gebruikt.
https://www.openssh.com/txt/release-8.2