Me gusta LastPass pero tenerlo como complemento del navegador significa que un atacante podría robar todas mis contraseñas a la vez. Tiene mucho sentido usar un dispositivo de hardware para almacenar mis contraseñas, como lo hace yubikey. Pero luego perderlo sería un problema.
La mejor manera sería utilizar yubikey para generar de manera determinista una contraseña para cada sitio, dada la URL del sitio, mi nombre de usuario y alguna otra información, de modo que pueda cambiar las contraseñas de un sitio específico si es necesario.
Sé que yubikey tiene algún tipo de respuesta de desafío, pero no se puede realizar una copia de seguridad como una curva de gpg abierta.
Me gustaría saber si existen soluciones para este problema que hacen lo que dije pero que usan RSA con yubikey / otros, y cuáles son las posibles fallas . Por ejemplo, mi contraseña en cada sitio sería algo así:
hash(rsa_signature(url, username, nonce))[0,n]
es decir, mi contraseña serían los primeros n
caracteres del hash de la firma de los url
, username
y nonce
concatenados juntos. El hash sería bueno para anonimarme, por lo que mi firma no se puede probar con mi clave pública. Dicho servicio solo tendría que realizar un seguimiento de nonce
y n
para cada url
y username
.
He leído algunas publicaciones sobre esto, así que no las marque como duplicadas:
¿Es esta idea para un administrador de contraseñas seguro? Si es así, ¿por qué nadie lo usa? , no para dispositivos de hardware, por lo que keyloggin es un problema. No en mi esquema.
Gestores de contraseñas: base de datos cifrada vs estrategia de hashing - no hay mención sobre nonce