<div>U2F solves that issue, and it's way more secure than TOTP. Sadly, not many sites support it yet (Google, GitHub, and Dropbox all do). So, just find a hardware token with U2F support and push sites to implement support for it. :-)</div><div><br></div><div>~reed</div><div><br><div class="gmail_quote"><div>On Fri, Dec 30, 2016 at 4:24 PM Bertrand Jacquin <bertrand@jacquin.bzh> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I get your point. While I trust more hardware tokens than phones, I<br class="gmail_msg"><br>usually can access a very limited set of slot to store private<br class="gmail_msg"><br>material. That is needed since I don't want or can use the same seed for<br class="gmail_msg"><br>Google, Gandi and other services offering MFA.<br class="gmail_msg"><br><br class="gmail_msg"><br>It's probably not the place to discuss Yubikey. I'm not using Yubikey<br class="gmail_msg"><br>myself but OpenPGP hardware token and don't really know how I can then<br class="gmail_msg"><br>specify which slot of the Yubikey should be used depending on the need.<br class="gmail_msg"><br>Subject to investigate.<br class="gmail_msg"><br><br class="gmail_msg"><br>Cheers<br class="gmail_msg"><br><br class="gmail_msg"><br>On Fri, Dec 30, 2016 at 11:50:36PM +0000, Reed Loden wrote:<br class="gmail_msg"><br>> If I compromise your computer, I still get both the password and the TOTP<br class="gmail_msg"><br>> secret just from a simple keylogger. Not safe.<br class="gmail_msg"><br>><br class="gmail_msg"><br>> If you don't want to use your phone, just get a hardware token of some sort<br class="gmail_msg"><br>> (Yubikey or similar).<br class="gmail_msg"><br>><br class="gmail_msg"><br>> ~reed<br class="gmail_msg"><br>><br class="gmail_msg"><br>> On Fri, Dec 30, 2016 at 3:31 PM Bertrand Jacquin <bertrand@jacquin.bzh><br class="gmail_msg"><br>> wrote:<br class="gmail_msg"><br>><br class="gmail_msg"><br>> > Well, they don't have to be stored on the password store directory nor<br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > encrypted using the same GPG key.<br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > On 30/12/2016 23:28, Reed Loden wrote:<br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > > How is that 2FA if both factors are stored on the same media? Seems<br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > > quite insecure to me.<br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > ><br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > > ~reed<br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > ><br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > > On Fri, Dec 30, 2016 at 3:16 PM Bertrand Jacquin<br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > > <bertrand@jacquin.bzh> wrote:<br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > ><br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >> Hi,<br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >><br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >> Thanks to everyone involve in this really nice password tool you've<br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >><br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >> made, this is something I'm using every day and really enjoy using<br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >> it.<br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >><br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >> Have you ever considered adding an option to handle TOTP, meaning<br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >> that the<br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >><br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >> seed could be stored in a gpg file and pass could provide an easy<br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >> way to get<br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >><br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >> current OTP by using oathtool. For example:<br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >><br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >> $ oathtool -v --base32 --totp XXX<br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >><br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >> Hex secret: YYY<br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >><br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >> Base32 secret: XXX<br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >><br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >> Digits: 6<br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >><br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >> Window size: 0<br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >><br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >> Step size (seconds): 30<br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >><br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >> Start time: 1970-01-01 00:00:00 UTC (0)<br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >><br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >> Current time: 2016-12-18 17:42:53 UTC (1482082973)<br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >><br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >> Counter: 0x2F1D38D (49402765)<br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >><br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >> 799465<br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >><br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >> Thanks you be really handle for me to just run:<br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >><br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >> $ pass show -c --totp Web/<a href="http://gandi.net" rel="noreferrer" class="gmail_msg" target="_blank">gandi.net</a> [1]<br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >><br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >> And being able to paste when Gandi ask for it.<br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >><br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >> Cheers<br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >><br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >> --<br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >><br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >> Bertrand<br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >><br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >> _______________________________________________<br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >><br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >> Password-Store mailing list<br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >><br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >> <a href="mailto:Password-Store@lists.zx2c4.com" class="gmail_msg" target="_blank">Password-Store@lists.zx2c4.com</a><br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >><br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > >> <a href="https://lists.zx2c4.com/mailman/listinfo/password-store" rel="noreferrer" class="gmail_msg" target="_blank">https://lists.zx2c4.com/mailman/listinfo/password-store</a><br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > ><br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > ><br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > > Links:<br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > > ------<br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > > [1] <a href="http://gandi.net" rel="noreferrer" class="gmail_msg" target="_blank">http://gandi.net</a><br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > --<br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> > Bertrand<br class="gmail_msg"><br>> ><br class="gmail_msg"><br>> ><br class="gmail_msg"><br><br class="gmail_msg"><br>--<br class="gmail_msg"><br>Bertrand<br class="gmail_msg"><br></blockquote></div></div>