Guardando all'implementazione della modalità Hubi-4 HMAC-SHA1 per KeePassXC, voglio sapere:
La risposta alla sfida HMAC-SHA1 non è meno sicura di una password di 40 caratteri?
Da quello che so, la sfida è hard-coded, quindi un attaccante ha già questo. Quindi l'unico segreto è la risposta, che è di 20 byte SHA1.
Una normale password di 40 caratteri ha 40 * ~ 7 bit (che rimuove i caratteri non stampabili / utilizzabili in ASCII) come segreto utilizzabile. Quindi dovrebbe essere più sicuro in quanto ciò produce un SHA1 segreto a 160 bit rispetto a 160 bit.
Modifica: Supponendo che entrambi, la Yubikey e i normali segreti della password vengono creati utilizzando la casualità vera. Quindi non stiamo parlando dei miglioramenti rispetto alle tipiche password "Password1234".
Se mi manca qualcosa, sentiti libero di correggermi.