<div>If I compromise your computer, I still get both the password and the TOTP secret just from a simple keylogger. Not safe.</div><div><br></div><div>If you don't want to use your phone, just get a hardware token of some sort (Yubikey or similar).</div><div><br></div><div>~reed</div><div><br></div><div><div class="gmail_quote"><div>On Fri, Dec 30, 2016 at 3:31 PM Bertrand Jacquin <bertrand@jacquin.bzh> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Well, they don't have to be stored on the password store directory nor<br class="gmail_msg"><br>encrypted using the same GPG key.<br class="gmail_msg"><br><br class="gmail_msg"><br>On 30/12/2016 23:28, Reed Loden wrote:<br class="gmail_msg"><br>> How is that 2FA if both factors are stored on the same media? Seems<br class="gmail_msg"><br>> quite insecure to me.<br class="gmail_msg"><br>><br class="gmail_msg"><br>> ~reed<br class="gmail_msg"><br>><br class="gmail_msg"><br>> On Fri, Dec 30, 2016 at 3:16 PM Bertrand Jacquin<br class="gmail_msg"><br>> <bertrand@jacquin.bzh> wrote:<br class="gmail_msg"><br>><br class="gmail_msg"><br>>> Hi,<br class="gmail_msg"><br>>><br class="gmail_msg"><br>>> Thanks to everyone involve in this really nice password tool you've<br class="gmail_msg"><br>>><br class="gmail_msg"><br>>> made, this is something I'm using every day and really enjoy using<br class="gmail_msg"><br>>> it.<br class="gmail_msg"><br>>><br class="gmail_msg"><br>>> Have you ever considered adding an option to handle TOTP, meaning<br class="gmail_msg"><br>>> that the<br class="gmail_msg"><br>>><br class="gmail_msg"><br>>> seed could be stored in a gpg file and pass could provide an easy<br class="gmail_msg"><br>>> way to get<br class="gmail_msg"><br>>><br class="gmail_msg"><br>>> current OTP by using oathtool. For example:<br class="gmail_msg"><br>>><br class="gmail_msg"><br>>> $ oathtool -v --base32 --totp XXX<br class="gmail_msg"><br>>><br class="gmail_msg"><br>>> Hex secret: YYY<br class="gmail_msg"><br>>><br class="gmail_msg"><br>>> Base32 secret: XXX<br class="gmail_msg"><br>>><br class="gmail_msg"><br>>> Digits: 6<br class="gmail_msg"><br>>><br class="gmail_msg"><br>>> Window size: 0<br class="gmail_msg"><br>>><br class="gmail_msg"><br>>> Step size (seconds): 30<br class="gmail_msg"><br>>><br class="gmail_msg"><br>>> Start time: 1970-01-01 00:00:00 UTC (0)<br class="gmail_msg"><br>>><br class="gmail_msg"><br>>> Current time: 2016-12-18 17:42:53 UTC (1482082973)<br class="gmail_msg"><br>>><br class="gmail_msg"><br>>> Counter: 0x2F1D38D (49402765)<br class="gmail_msg"><br>>><br class="gmail_msg"><br>>> 799465<br class="gmail_msg"><br>>><br class="gmail_msg"><br>>> Thanks you be really handle for me to just run:<br class="gmail_msg"><br>>><br class="gmail_msg"><br>>> $ pass show -c --totp Web/<a href="http://gandi.net" rel="noreferrer" class="gmail_msg" target="_blank">gandi.net</a> [1]<br class="gmail_msg"><br>>><br class="gmail_msg"><br>>> And being able to paste when Gandi ask for it.<br class="gmail_msg"><br>>><br class="gmail_msg"><br>>> Cheers<br class="gmail_msg"><br>>><br class="gmail_msg"><br>>> --<br class="gmail_msg"><br>>><br class="gmail_msg"><br>>> Bertrand<br class="gmail_msg"><br>>><br class="gmail_msg"><br>>> _______________________________________________<br class="gmail_msg"><br>>><br class="gmail_msg"><br>>> Password-Store mailing list<br class="gmail_msg"><br>>><br class="gmail_msg"><br>>> <a href="mailto:Password-Store@lists.zx2c4.com" class="gmail_msg" target="_blank">Password-Store@lists.zx2c4.com</a><br class="gmail_msg"><br>>><br class="gmail_msg"><br>>> <a href="https://lists.zx2c4.com/mailman/listinfo/password-store" rel="noreferrer" class="gmail_msg" target="_blank">https://lists.zx2c4.com/mailman/listinfo/password-store</a><br class="gmail_msg"><br>><br class="gmail_msg"><br>><br class="gmail_msg"><br>> Links:<br class="gmail_msg"><br>> ------<br class="gmail_msg"><br>> [1] <a href="http://gandi.net" rel="noreferrer" class="gmail_msg" target="_blank">http://gandi.net</a><br class="gmail_msg"><br><br class="gmail_msg"><br>--<br class="gmail_msg"><br>Bertrand<br class="gmail_msg"><br></blockquote></div></div>