Der Hauptzweck des Scriptes war, die betreffende Firma von der Schwäche von TOTP zu überzeugen und flächendeckend physische Yubikeys für Mitarbeiter mit Zugang zu Prod auszurollen.
Das eigentliche System – zeitbegrenzte beschränkte SSH-Keys, die nie persistiert werden – war gut. Der zweite Faktor im Firmenkontext schwach und ein Resultat falscher Pfennigfuchserei.
Der Autor des Scripts hat nach Einsendung des Programms an security@... einen Yubikey erhalten und TOTP wurde global abgeschaltet.