在KeepassXC中添加两个Yubikey

Question

我正在测试Yubico 5 NFC，一般来说，我们使用KeePassXC保存合理的信息。KeePassXC接受yubikeys但是只有一个..。有人知道是否有可能在一个kdbx文件中添加多个文件？

Answer 1

在与KeePassXC开发团队交谈之后，很明显，在两个独立的Yubikey中拥有两个不同的种子是不可能的。您需要将相同的种子添加到另一个Yubikey中，以保存种子的副本。

在Docs部分，我们能读一下这个吗？

What happens if I break my YubiKey? Can I create backup keys?
    You should always make a copy of the HMAC secret that is stored on the YubiKey and keep it in a secure location. This can be an analog paper copy, but since the YubiKey personalization tool allows you to program a custom secret into the key, you may as well program a second key with the same secret

 
Can I register multiple YubiKeys with my KeePassXC database?
    You can only use a single secret for encrypting the database. So you can use multiple YubiKeys, but they all have to be programmed with the same secret (see question above).

关于如何在两个yubikeys的插槽2中设置相同的id的说明如下：https://support.yubico.com/hc/en-us/articles/360013779759-Using-Your-YubiKey-with-KeePass

请记住，在第二个键中，您必须复制和粘贴相同的种子。

完整的讨论如下：https://github.com/keepassxreboot/keepassxc/discussions/6344

Answer 2

建议在YubiKeys之上使用强主密码&定期保存DB以生成新的挑战/响应对。远远不是完美，但比仅仅一个密码更好。以下方法(使用HMAC-SHA1进行挑战-响应)可以在Ubuntu上使用KeePassXC v2.6.2和2x YubiKey 5 NFC和固件v5.4.3：

1. 安装ykman (yubikey-manager的一部分)

$ sudo apt-get install yubikey-manager        

1. 检查slot#2在key#1和key#2中都是空的。您将在两个键上覆盖slot#2。

$ ykman otp info 
Slot 1: programmed
Slot 2: empty

1. 生成一个基32编码的秘密种子(例如："SECRETSEED")，该种子将被编程到两个键中。RFC2104建议您的种子与基础哈希函数(SHA1的20个字节)一样长。

$ base32
SECRETSEED<Enter>
CTRL+D
BASE32SECRETSEED
$

注意，上面的方法向种子添加了一个CR。将SECRETSEED存储在安全的地方(最好不是数字的)，以防丢失两个键

1. 将生成的"BASE32SECRETSEED“编程到key#1和key#2

$ ykman otp chalresp -t 2
Enter a secret key: BASE32SECRETSEED
Program a challenge-response credential in slot 2? [y/N]: y

1. 验证相同的挑战使用两个键给您相同的响应。

$ ykman otp calculate 2 
Enter a challenge (hex): deadbeef
Touch your YubiKey...
aabbccdd11223344556677889900aabbccdd1122

1. 将一个键添加到KeePassXC数据库中

数据库>数据库安全性>添加附加保护>添加YubiKey挑战-响应

1. 这两个键现在都可以解锁/保存DB了。

参考文献：

• OTP.html
• 响应
• https://wiki.archlinux.org/title/YubiKey
• https://www.rfc-editor.org/rfc/rfc2104