¿La adición de la autenticación de dos factores mediante OTP realmente hace que KeePass sea más seguro?

No. La seguridad sigue siendo la misma + sobrecarga cognitiva extra.

Es de suponer que el complemento utiliza OATH HOTP donde el archivo KeePass o la clave maestra se vuelve a cifrar después de cada uno acceso con la siguiente contraseña de una sola vez.

Sin embargo, para generar la siguiente contraseña en el dispositivo, el complemento requerirá un secreto almacenado en el dispositivo o la contraseña normal para el archivo KeePass.

La seguridad de una contraseña de un solo uso proviene de dos partes que conocen la misma clave y el mismo contador, HOTP(Key,Counter) , mientras que un atacante no conoce la clave. Si el atacante tiene acceso al dispositivo que almacena los archivos y la instalación de KeePass, la seguridad vuelve a colapsar a la seguridad de la contraseña normal por sí sola. Si el archivo KeePass sigue siendo interoperable con otros programas KeePass, entonces no obtienes nada al usar una contraseña de un solo uso de esta manera.

Las contraseñas de un solo uso funcionan bien para la autenticación del servidor porque los puntos finales tanto del cliente como del servidor se consideran seguros y el atacante necesita ' algo que usted posee ' así como ' algo que sepa '. Si el atacante tiene tu computadora, ahora tienen ' lo que tienes '.

Al leer la fuente, parece que el secreto se almacena en el Yubikey y se almacena encriptado varias veces con diferentes claves dentro del archivo otp.xml. Las claves de cifrado se derivan de las siguientes n OTP (derivadas del secreto) a partir de OTP i..i + m, donde i es el contador actual y m es el valor de anticipación. Cuando el usuario ingresa sus valores OTP, el complemento crea una clave a partir de esos valores e intenta descifrar una de las copias cifradas del secreto usando esa clave. Si tiene éxito, el secreto se usa para derivar las siguientes OTP n + m y generar las m claves utilizadas para cifrar el secreto la próxima vez antes de desbloquear la base de datos. Esto significa que la protección no puede ser anulada sin tener alguna copia del secreto, que no se almacena en texto plano junto a la base de datos.

Aunque aparentemente es seguro, no me gusta este complemento debido a la posibilidad de que los contadores no estén sincronizados. Asegúrese de tener una copia del secreto escrito en algún lugar seguro.

KeePass tiene una clave maestra que está cifrada con su contraseña normalmente. Si esa clave está encriptada con algo generado por la OTP y su contraseña, ambos mecanismos serían necesarios para descifrar la clave maestra que cifra el almacén de datos. Dicho esto, no estoy seguro de cómo pueden haber implementado una configuración de OTP que sea segura, ya que normalmente una OTP es un método de autenticación en lugar del almacenamiento de claves (es decir, no sé cómo haría que la OTP desbloquee la clave) .

También se sospecha que podrían prevenir la reproducción de manera efectiva, ya que la db está controlada por un atacante en la mayoría de los escenarios de ataque, pero no necesariamente de la forma que esperabas. Pueden tener alguna forma de solucionar este problema, pero no puedo pensar en uno.

Sí, la seguridad se ha mejorado porque hay una "contraseña" adicional de HOTP. Esto frustraría los troyanos keylogger que pueden capturar contraseñas normales.