Надоело входить в свою базу паролей с мастер-паролем? Хотите просто усилить безопасность парольной базы дополнительным аппаратным фактором?

Для обоих задач неплохо подходит аппаратный ключ Yubikey.

1. В первую очередь нам потребуется правильный Yubikey. В основном, Yubikey распространяются в вариантах: только FIDO2 (данный тип ключа нам НЕ ПОДОЙДЁТ) и OTP/FIDO2/PIV.

Для добавления ключа Yubikey нам потребуется ключ, поддерживающий механизм Challenge-Response, а значит OTP.

При покупке такого ключа лучше уточнять поддержку OTP прямо. Мне, к примеру, пытались продать FIDO2-only ключ, утверждая в спеках, что поддержка OTP есть.

2. После приобретения ключа необходимо скачать и установить программу Yubikey Manager.

https://www.yubico.com/support/download/yubikey-manager/

3. Если у нас ключ с поддержкой OTP и PIV - в Yubikey Manager будут активны соответствующие опции. Если нет - они будут grayed out и активной будет лишь FIDO2.

4. Теперь необходимо зайти в Applications → OTP и сделать Configure для какого-нибудь слота.

5. В появившихся опциях выбираем Challenge-response и генерируем Secret key, затем нажимаем Finish.

6. Открываем защищаемую базу данных в KeepassXC, разблокируем её и идем в раздел Database → Database Security.

7. KeepassXC должен увидеть наш ключ Yubikey, если всё сделано верно. Нажимаем Add Challenge-response.

На данном этапе, если мы добавили ключ Yubikey - он станет ещё одним фактром, необходимым для разблокировки базы.