Estoy usando LastPass junto con un YubiKey Neo. Si alguien supiera mi contraseña maestra (por ejemplo, keylogger) y una copia de mi bóveda de contraseña cifrada, ¿podría descifrarla? ¿O la configuración de YubiKey agrega otra capa a ese cifrado?
Con LastPass, YubiKey solo se usa con fines de autenticación para poder descargar su bóveda y / o iniciar sesión en su cuenta de LastPass en sus servidores. Sin embargo, YubiKey no se utiliza para fines de cifrado, por lo que el uso de 2FA con LastPass (o YubiKey) no influye en el cifrado de la bóveda. Simplemente hace que sea más difícil comprometer potencialmente su cuenta al iniciar sesión como usted, por lo que 2FA debería estar habilitado como una mejor práctica.
La base de datos LastPass en sí misma está encriptada localmente utilizando AES-256 con su contraseña maestra como un factor para generar una clave hash PBKDF2-SHA256. Esa clave, almacenada localmente (no su contraseña maestra) con cifrado simétrico AES-256 es su contraseña maestra. Pero, esencialmente, su contraseña maestra es esta clave y se podría usar para descifrar archivos localmente, por lo tanto, si alguien copia su bóveda local de último paso y tiene la contraseña maestra, independientemente de YubiKey, podría verse comprometida.
Referencias:
La autenticación de dos factores con Last Pass solo se aplica para iniciar sesión en el servicio u operación dentro de la aplicación. Si alguien tiene una copia de su base de datos cifrada, solo la contraseña en sí es relevante.
El método "táctil para autenticar con una cadena de caracteres" de Yubikey utiliza un identificador de clave y un contador incremental que no es útil para cifrar datos.Lea otras preguntas en las etiquetas password-management encryption yubikey