KeePass和Yubikey誓言的安全性-HOTP

Question

除了一个有誓言的尤比基( Yubikey )，KeePass还有多安全？

我在使用KeePass的Yubikey使用挑战-响应与誓言-HOTP上读到，与誓言-HOTP没有增加一个真正的第二个因素。

但我不明白的是，没有插件，只有使用主密码，我就不能打开数据库。我看到的唯一方法是用“恢复”键打开数据库。

因此，我认为与誓言-HOTP，你可以使用更长的密码(主密码+OTP)，因为你必须记住一个较短的主密码。因此，如果使用长时间的“恢复”键作为宣誓-HOTP，安全性就会增加。

是那么回事吗？

Answer 1

不能使用HOTP加密数据。HOTP是一种对称算法，它依赖于身份验证方来验证用户输入的OTP值。

OTP值是根据共享对称密钥和计数器计算的。

共享意味着用户(在他的设备中)和身份验证方(通常是服务器)拥有完全相同的密钥来计算相同的值。安全在于保护这把钥匙！拥有密钥的每个人(嗯，一个计数器，但这不是问题)都可以计算OTP值。

在keepass场景中，身份验证方是程序或更好的保险库文件。但是您加密了保险库文件，因为您希望避免将数据合并，以防文件被盗。

现在没有一种简单的方法来保护/加密秘密共享密钥，如果这是您要用来加密数据的话。您可以用数据本身对数据进行加密。

但是，您可以尝试使用下一个OTP值对秘密密钥和数据加密密钥进行初始加密。当用户输入可以用OTP令牌计算的下一个OTP值时，可以对密钥和数据加密密钥进行解密。然后，keepass可以用解密的密钥计算下一个(n+2) OTP值，并对密钥和数据加密密钥进行重新加密。

但是老实说，在这样的设置中有许多可能的缺陷，所以很可能您会很快地丢失您的数据。简单的是你按了两次OTP令牌的按钮.或者十次。keepass不会有十个版本的加密密钥和数据加密密钥.

因此，您可能最终会用静态密码加密秘密共享密钥。嗯。那么你所有的安全只取决于这个静态密码的强度，最后你会....guess什么:一个因素。