Jest jeszcze Fido U2F wbudowane w Ledger'y
https://support.ledger.com/hc/en-us/articles/115005198545-FIDO-U2F LEDGER NANO S i LEDGER Blue dokładnie
W sumie jest też pośrednie rozwiązanie w postaci menadżera haseł
...na tyle bezpieczne, na ile bezpieczny jest Twój komputer, chyba że korzystasz z czegoś w stylu yubikey...
Trochę poczytałem o Yubikey i muszę przyznać, że jest to ciekawe rozwiązanie, ale jak komputer będzie zainfekowany, to chyba i tak jest szansa, że zdobędzie dostęp do klucza, bo wpina się go przez usb. Próbowałem znaleźć więcej informacji na ich stronie, ale są tam raczej reklamy, a nie ściśle technicze informacje.
Cena to jakieś 50 dolarów czyli całkiem przystępnie, ale jestem ciekaw czy nie ma dalszych opłat, na przykład za korzystanie z serwisu co miesiąc?
Jeśli dobrze rozumiem to nie ma takiego ryzyka, ponieważ klucze prywatne są przechowywane w urządzeniu i nie ma do nich żadnego dostępu z zewnątrz (z wykorzystaniem tych kluczy są po prostu generowane podpisy - które służą do potwierdzenia transakcji, czy raczej autoryzacji w tym przypadku), więc jedyne co może zrobić haker to jednorazowo przechwycić pojedynczą "akcje" .
...większą entropię i przez to wiesze bezpieczeństwo zapewnia hasło złożone z kilku prostych członów...
Mógłbyś dokładniej wyjaśnić o co chodzi?
Z tego co wiem (nie zawsze), ale zazwyczaj powinny, to być ciągi różnych znaków i właśnie do tej pory chodziło, żeby było ich bardzo dużo i jak najróżniejsze.
To wydaje się być oczywiste i jedyna kwestia to problem z zapamiętaniem takiego hasła i tu takie rozwiązanie, o którym pisze @Adamvp mogłoby się sprawdzić, bo napewno lżej zapamiętać jakiś zlepek wyrazów, niż losowe znaki i to w dużych ilościach.
Powiem, że słyszałem właśnie zupełnie odwrotnie opinie, żeby nie używać kombinacji wyrazów, na przykład: imię nazwisko, data urodzenia lub numer kodu i ulicy, bo mogą być możliwe do odgadnięcia, przy wykorzystaniu socjotechniki. Dlatego chciałbym, żebyś rozwinął trochę swoją myśl i podał jakieś przykłady, jeżeli miał bym dodać do listy i żeby udowodnić tą sugestię.
Jakieś źródła, też by się przydały, jak masz?
No źródło było w mojej głowie (w sumie nauczka na przyszłość zapisywać linki do ciekawych arytkułow, bo nigdy nie wiadomo kiedy się przydadzą) ale jakimś cudem udało mi się znaleźć o tym co miałem na myśli (niestety po angielsku) :
https://www.fpainc.com/blog/password-guidelines-from-nist