Судя по всему keepassdx+syncthing+yubikey+hmac challenge спасут отца русской демократии и позволят упокоиться в безопасности. Ну и конечно yubikey authenticator для генерации мульена totp ключей. Никаких серверов и прочей шняги, даже никаких особых настроек не надо. Только импортировать все из двух мест текущего хранения в эти два. При этом все это можно забэкапить, так что не страшно потерять. Бэкап с километровым паролем конечно, записанным на мониторе. Но вот приватный ключ аппаратный подумаю
Я немного подумал и кажется придумал. Ключ у меня будет основной один, а бэкап будет закрыт вторым. Потеряю первый, куплю новый, открою бэкап вторым и сделаю первый. Регать оба ключа везде мне просто лень. Но это пока просто мысля.
Это что бы длинный пароль на мониторе не писать.
Как выяснилось hmac этот, просто по сути продолжение пароля, а значит его юзать для дешифровки кипаса нельзя толком. Так как его можно логировать малварью как и пароль. Плюс битварден умеет понимать fido2, и база будет не там где ключ, так что кажись битварден победил. Почитаю еще.
Арчлинукс как всегда радует качеством вики.
https://wiki.archlinux.org/title/YubiKey