Observando la implementación del modo Yubikey 4 HMAC-SHA1 para KeePassXC, quiero saberlo:
¿La respuesta de desafío HMAC-SHA1 no es más segura que una contraseña de más de 40 caracteres?
Por lo que sé, el desafío está codificado, por lo que un atacante ya tiene esto. Así que el único secreto es la respuesta, que es 20bytes SHA1.
Una contraseña normal de 40 caracteres tiene 40 * ~ 7 bits (eliminando caracteres no imprimibles / utilizables en ASCII) como secreto utilizable. Por lo tanto, debería ser más seguro, ya que eso da como resultado un secreto de 280 bits en comparación con el SHA1 de 160 bits.
Editar: Suponiendo que ambos, los secretos de Yubikey y los de Contraseña normales se crean utilizando la aleatoriedad real. Así que no estamos hablando de las mejoras sobre las contraseñas típicas de "Contraseña1234".
Si me falta algo, siéntete libre de corregirme.