Sto usando LastPass insieme a un YubiKey Neo. Se qualcuno ha ottenuto la mia password principale (ad esempio keylogger) e una copia del mio vault password crittografato, sarebbe in grado di decrittografarlo? Oppure l'installazione di YubiKey aggiunge un altro livello a quella crittografia?
Con LastPass, YubiKey viene utilizzato solo a scopo di autenticazione per poter scaricare il tuo vault e / o accedere al tuo account LastPass sui loro server. Tuttavia, YubiKey non viene utilizzato per scopi di crittografia, quindi l'uso di 2FA con LastPass (o YubiKey) non influenza la crittografia del vault. Rende solo più difficile compromettere potenzialmente il tuo account effettuando l'accesso come te, quindi 2FA dovrebbe essere abilitato come best practice.
Il database LastPass è crittografato localmente utilizzando AES-256 con la password principale come fattore per generare una chiave hash PBKDF2-SHA256. Quella chiave, memorizzata localmente (non la tua password principale) con crittografia simmetrica AES-256 è la tua password principale. Ma, in sostanza, la tua password principale è questa chiave e potrebbe essere usata per decifrare i file localmente, quindi se qualcuno copia il tuo last last vault locale e ha la password principale, indipendentemente da YubiKey, potrebbe essere compromessa.
References:
L'autenticazione a due fattori con Last Pass è applicabile solo all'accesso al servizio o all'operazione all'interno dell'applicazione stessa. Se qualcuno ha una copia del tuo database crittografato, solo la password stessa è rilevante.
Il metodo proprietario di "tocco per autenticare con una stringa di caratteri" di Yubikey utilizza un ID chiave e un contatore di incremento che non è utile per crittografare i dati.
Leggi altre domande sui tag encryption password-management yubikey