Dato che U2F come implementato ad esempio da YubiKey è senza stato, mi chiedo se un gestore di password supporta la crittografia di ogni singola password memorizzata in una raccolta di password usando U2F.
Questo potrebbe aiutare contro il problema comune che aprire il gestore di password è già un grande rischio per la sicurezza (si pensi CTRL + A, CTRL + C per copiare tutte le voci) e impedire di dare la password completa solo perché un utente malintenzionato ha registrato una sfida / comunicazione di risposta per una singola chiave.
Sfondo:
- U2F non è uno standard di crittografia, ma uno standard di autenticazione e utilizza chiavi pubbliche / private per l'autenticazione delle sfide del server.
- Basato sul suo utilizzo di firme chiave pubbliche / private anche se dovrebbe essere possibile per un gestore di password mantenere "maniglie" per ogni password memorizzata, che dopo essere stato firmato dal dispositivo U2F produce la chiave di crittografia effettiva.
- Vedi qui per un possibile uso di u2f per crittografia di testo semplice . Non penso che sia il modo giusto per usare l'handle come un sale, ma l'idea generale è lì.