Hallo!
Habe mir zwei Yubikey 4 Nano bestellt, und möchte jetzt anfangen, diese mit KeepassXC einzurichten, und da sind mir in den FAQs von KeepassXC folgende Absätze ins Auge gestochen:
Does KeePassXC support two-factor authentication (2FA) with YubiKeys or OnlyKeys?
Yes and no. KeePassXC supports YubiKeys for securing a database, but strictly speaking, it's not two-factor authentication. KeePassXC generates a challenge and uses the YubiKey's response to this challenge to enhance the encryption key of your database. So in a sense, it makes your password stronger, but technically it doesn't qualify as a separate second factor, since the expected response doesn't change every time you try to decrypt your database. It does, however, change every time you save your database.
Das wäre an sich ne super Sache. Ich hatte allerdings ursprünglich vor, 2 Yubikeys mit meiner Datenbank zu konfigurieren, und einen davon, dann als Backup an einem sicheren Ort aufzubewahren, falls der Yubikey, der in Benutzung ist, kaputt gehen oder abhanden kommen sollte. Aber wäre das dann nicht völlig sinnfrei, wenn die "expected response" sowieso bei jeder Speicherung/Änderung der Datenbank geändert wird?
Dann würde zwar mein aktuell genutzter Yubikey damit klarkommen, aber mein Backup wäre dann doch nutzlos, oder nicht?
How do I configure my YubiKey / OnlyKey for use with KeePassXC?
To use a YubiKey or OnlyKey for securing your KeePassXC database, you have to configure one of your YubiKey / OnlyKey slots for HMAC-SHA1 Challenge Response mode (see this video for how to do this). Once your YubiKey (or OnlyKey, you got the point…) is set up, open your database in KeePassXC, go to File / Change master key, enable Challenge Response and then save the database. Important: Always make a copy of the secret that is programmed into your YubiKey while you configure it for HMAC-SHA1 and store it in a secure location. If you lose or brick the key or accidentally reprogram it with a different secret, you will permanently lose access to your database!
Kann ich daraus schließen, dass das, was ich eigentlich wirklich als effizientes Backup brauche, das "secret" (in Form einer Datei) ist, welche ich z.B. auf einem verschlüsselten USB Stick ablege und diesen dann als Backup an einem sicheren Ort aufbewahre?
Mir geht es hauptsächlich darum, das Prinzip zu verstehen, um dann daraus ableiten zu können, wie ich das Backup machen muss, dass es auch im Notfall einsetzbar ist, UND ob ich für ein Backup meines Yubikeys einen zweiten Yubikey benötige, oder jeder xbeliebige USB Stick für dieses "secret" als Speicherort fungieren kann?
Ich freue mich sehr, wenn sich jemand damit auskennt, und mir hierzu noch ein paar erklärende Worte schreiben kann ☺
Viele Grüße!