Algunas respuestas tienen un pequeño detalle incorrecto:
- El Yubikey no sigue per se el algoritmo TOTP como se define en RFC6238. El yubikey viene con un algoritmo OTP basado en AES. Puede inicializar el yubikey para seguir el algoritmo HOTP (RFC4226) (basado en eventos). Esto se debe a que TOTP necesita el tiempo, un reloj que el yubikey no tiene. Sin embargo, puede hacer una respuesta de desafío con el yubikey y esto facilita un software de cliente adicional que haga TOTP.
Pero el Yubikey 4 también es una tarjeta inteligente completa. Por lo tanto, puede crear un par de claves asimétricas en el yubikey. Puede utilizar esta funcionalidad de tarjeta inteligente para proteger (cifrar) los datos de la manera correcta. El software cifraría la clave de encriptación de datos simétrica con la clave pública, que se generó en el yubikey. Usted (o un atacante) solo podría descifrar la clave de cifrado de los datos y, por lo tanto, los datos utilizando la clave privada, que se creó en el yubikey y que no se puede exportar desde el yubikey. Esta es la forma más sensata de implementar una protección de cifrado 2FA con tecnología de punta.
No sé, si keepass admite tarjetas inteligentes / PGP / PKCS11.