Судя по всему keepassdx+syncthing+yubikey+hmac challenge спасут отца русской демократии и позволят упокоиться в безопасности. Ну и конечно yubikey authenticator для генерации мульена totp ключей. Никаких серверов и прочей шняги, даже никаких особых настроек не надо. Только импортировать все из двух мест текущего хранения в эти два. При этом все это можно забэкапить, так что не страшно потерять. Бэкап с километровым паролем конечно, записанным на мониторе. Но вот приватный ключ аппаратный подумаю
Арчлинукс как всегда радует качеством вики.
Я немного подумал и кажется придумал. Ключ у меня будет основной один, а бэкап будет закрыт вторым. Потеряю первый, куплю новый, открою бэкап вторым и сделаю первый. Регать оба ключа везде мне просто лень. Но это пока просто мысля.
Как выяснилось hmac этот, просто по сути продолжение пароля, а значит его юзать для дешифровки кипаса нельзя толком. Так как его можно логировать малварью как и пароль. Плюс битварден умеет понимать fido2, и база будет не там где ключ, так что кажись битварден победил. Почитаю еще.