Надоело входить в свою базу паролей с мастер-паролем? Хотите просто усилить безопасность парольной базы дополнительным аппаратным фактором?

Для обоих задач неплохо подходит аппаратный ключ Yubikey.

1. В первую очередь нам потребуется правильный Yubikey. В основном, Yubikey распространяются в вариантах: только FIDO2 (данный тип ключа нам НЕ ПОДОЙДЁТ) и OTP/FIDO2/PIV.

Для добавления ключа Yubikey нам потребуется ключ, поддерживающий механизм Challenge-Response, а значит OTP.

При покупке такого ключа лучше уточнять поддержку OTP прямо. Мне, к примеру, пытались продать FIDO2-only ключ, утверждая в спеках, что поддержка OTP есть.

2. После приобретения ключа необходимо скачать и установить программу Yubikey Manager.

https://www.yubico.com/support/download/yubikey-manager/

3. Если у нас ключ с поддержкой OTP и PIV - в Yubikey Manager будут активны соответствующие опции. Если нет - они будут grayed out и активной будет лишь FIDO2.

4. Теперь необходимо зайти в Applications → OTP и сделать Configure для какого-нибудь слота.

5. В появившихся опциях выбираем Challenge-response и генерируем Secret key, затем нажимаем Finish.

6. Открываем защищаемую базу данных в KeepassXC, разблокируем её и идем в раздел Database → Database Security (KeepassXC отрицательно относится к скриншотам настроек баз, поэтому их здесь не будет).

7. KeepassXC должен увидеть наш ключ Yubikey, если всё сделано верно. Нажимаем Add Challenge-response.

На данном этапе, если мы добавили ключ Yubikey - он станет ещё одним фактором, необходимым для разблокировки базы. Т.е., если у нас был вход по паролю + файл ключей + Yubikey, то для успешного входа в базу понабятся ВСЕ ТРИ фактора.

8. Если мы хотим убрать вход по паролю и оставить файл разблокировки + Yubikey, то просто задаем пустой пароль: база будет разблокироваться при наличии аппаратного ключа, файла и ввода пустого пароля по ENTER.

ОСТОРОЖНО. В этом случае вся безопасность начинает сильно зависеть от физической безопасности устройства, за которым вы работаете.