KeePassXC数据库双Yubikey认证配置问题分析

问题背景

在使用KeePassXC密码管理软件时，部分用户配置双Yubikey硬件密钥作为数据库认证方式时遇到了意外锁定问题。当两个Yubikey设备使用相同的挑战响应代码配置后，尝试使用第二个Yubikey会导致两个密钥都无法解锁数据库的情况。

技术细节分析

该问题源于KeePassXC在Yubikey配置流程中的一个已知缺陷。具体表现为：

1. 用户在已有密码和密钥文件保护的数据库上添加Yubikey认证时
2. 系统错误提示"未设置密码"（尽管实际已设置）
3. 如果用户在此提示后直接继续配置流程，会导致认证参数计算异常

问题复现条件

要复现此问题需要满足以下条件：

• 使用两个配置相同的Yubikey设备（挑战响应代码相同）
• 两个设备都配置在Slot 1位置
• 启用触摸验证功能
• 在KeePassXC配置流程中忽略密码提示直接继续

解决方案

目前可行的解决方案是：

1. 在Yubikey配置过程中，当系统提示"未设置密码"时
2. 选择"取消"操作
3. 重新输入数据库密码
4. 然后继续完成Yubikey配置

这种操作方式可以确保认证参数被正确计算，使两个Yubikey都能正常工作。

技术原理

该问题的根本原因在于KeePassXC的密码哈希计算流程。当忽略密码提示直接配置Yubikey时，系统未能正确将现有密码参数纳入认证因子计算，导致生成的密钥派生参数不完整。当使用第二个Yubikey时，这种不完整的参数会导致认证失败，并且可能破坏数据库的解锁机制。

最佳实践建议

对于需要使用多Yubikey备份的用户，建议：

1. 每次只配置一个Yubikey
2. 配置完成后立即测试解锁功能
3. 确认第一个Yubikey工作正常后再配置第二个
4. 严格按照推荐的配置流程操作
5. 保留数据库的未加密备份作为最后保障

未来改进

KeePassXC开发团队已经注意到这个问题，并在新版本中修复了密码提示相关的代码。这个修复将确保用户在配置过程中得到正确的引导，避免因操作不当导致的数据库锁定情况。