Mi piace LastPass ma averlo come plugin per il browser significa che un utente malintenzionato potrebbe rubare tutte le mie password contemporaneamente. Ha molto senso usare un dispositivo hardware per memorizzare le mie password, come fa yubikey. Ma poi perderlo sarebbe un problema.
Il modo migliore sarebbe usare yubikey per generare in modo deterministico una password per ogni sito, dato l'URL del sito, il mio nome utente e qualche altro nonce, così posso cambiare le password per un sito specifico se necessario.
So che yubikey ha una sorta di challenge response ma non può essere eseguito il backup come una curva gpg aperta.
Mi piacerebbe sapere se ci sono soluzioni a questo problema che fa quello che ho detto, ma usando RSA con yubikey / altri, e quali sono i possibili difetti . Ad esempio, la mia password su ciascun sito sarebbe così molle:
hash(rsa_signature(url, username, nonce))[0,n]
cioè, la mia password sarebbe il primo n caratteri dell'hash della firma di url , username e nonce concatenati insieme. L'hash sarebbe buono per anonimizzarmi, quindi la mia firma non può essere testata contro la mia chiave pubblica. Tale servizio dovrebbe solo tenere traccia di nonce e n per ogni url e username .
Ho letto alcuni post su questo, quindi per favore non contrassegnare come duplicato:
questa idea per un gestore di password è sicura? In tal caso, perché nessuno lo usa? - non per i dispositivi hardware, quindi il keylogger è un problema. Non nel mio schema.
Gestori password: database crittografato contro strategia hashing - nessuna menzione su nonce