===== Добавляем Yubikey в KeepassXC =====

Надоело входить в свою базу паролей с мастер-паролем? Хотите просто усилить безопасность парольной базы дополнительным аппаратным фактором?

Для обоих задач неплохо подходит аппаратный ключ //Yubikey//. 

{{:undefined:yubikey_look.jpg|}}

1. В первую очередь нам потребуется правильный //Yubikey//. В основном, //Yubikey// распространяются в вариантах: только //FIDO2// (данный тип ключа нам НЕ ПОДОЙДЁТ) и //OTP/FIDO2/PIV//. 

Для добавления ключа //Yubikey// нам потребуется ключ, поддерживающий механизм //Challenge-Response//, а значит //OTP//.

:!: При покупке такого ключа лучше уточнять поддержку //OTP// прямо. Мне, к примеру, пытались продать //FIDO2-only// ключ, утверждая в спеках, что поддержка //OTP// есть.

2. После приобретения ключа необходимо скачать и установить программу //Yubikey Manager//.

https://www.yubico.com/support/download/yubikey-manager/

3. Если у нас ключ с поддержкой //OTP// и //PIV// - в //Yubikey Manager// будут активны соответствующие опции. Если нет - они будут //grayed out// и активной будет лишь //FIDO2//.

{{:undefined:fido2_otp_support.jpg|}}

4. Теперь необходимо зайти в //Applications// -> //OTP// и сделать //Configure// для какого-нибудь слота.

{{:undefined:yubikey_configure_otp_slot.jpg|}}

5. В появившихся опциях выбираем //Challenge-response// и генерируем //Secret key//, затем нажимаем //Finish//.

6. Открываем защищаемую базу данных в //KeepassXC//, разблокируем её и идем в раздел //Database// -> //Database Security// (//KeepassXC// отрицательно относится к скриншотам настроек баз, поэтому их здесь не будет).

7. //KeepassXC// должен увидеть наш ключ //Yubikey//, если всё сделано верно. Нажимаем //Add Challenge-response//. 

На данном этапе, если мы добавили ключ //Yubikey// - он станет ещё одним фактором, необходимым для разблокировки базы. Т.е., если у нас был вход по паролю + файл ключей + //Yubikey//, то для успешного входа в базу понабятся ВСЕ ТРИ фактора.

8. Если мы хотим убрать вход по паролю и оставить файл ключей + //Yubikey//, то просто задаем пустой пароль: база будет разблокироваться при наличии аппаратного ключа, файла и ввода пустого пароля по //ENTER//. 

:!: ОСТОРОЖНО. В этом случае вся безопасность начинает сильно зависеть от физической безопасности устройства, за которым вы работаете. 

{{tag>Security Yubikey KeePass Soft}}