¿Debe LastPass usar el identificador público de YubiKey como clave secreta?

No, esto es inseguro ya que la identidad pública no se considera un secreto. Esto está respaldado por el hecho de que Yubico envía el identificador a través de HTTP. Si se sabe que esto se usa para una cuenta de LastPass, un MITM podría capturar la clave de cifrado adicional sin conexión que utiliza LastPass.

Aunque existe la posibilidad de que se haya filtrado a través de Internet, ya que la contraseña maestra también es necesaria para desbloquear la bóveda local de contraseñas, el riesgo es bajo.

El YubiKey Personalization Tool se puede utilizar para configurar una nueva identidad pública en caso de que se haya filtrado.

El identificador público de YubiKey es solo una parte. La clave se genera también a través del hash de su contraseña maestra (más correo electrónico) todo combinado. Incluso si el atacante conoce el identificador público de YubiKey (y su correo electrónico), ¿y qué? La contraseña sigue siendo secreta. Esa es la parte más importante.

Agregar el identificador público al hash no debilita la seguridad del último paso.

Para el mejor procedimiento 2FA en este contexto, la parte importante aquí es mantener la opción "Permitir acceso sin conexión" DESACTIVADA . Con esta opción desactivada, LastPass no le enviará la bóveda que contiene las contraseñas cifradas (o tal vez no le envíe la clave para descifrar, no recuerdo cuál) a menos que el YubiOTP se valide contra los servidores de Yubico como nuevo / OTP no utilizada previamente.

Si habilitas esta opción, solo estás usando la parte de prefijo estático de YubiOTP como una segunda contraseña invariable, que es un segundo factor pobre en el mejor de los casos.

enlace