<div dir="auto">Hi!<div dir="auto"><br></div><div dir="auto">You might be interested in looking into something like hashicorp vault for shared secrets. The use case you are mentioning is a common yet Hard to deal with one that is solved by Vault for instance. I only know this tool but others might exist. </div></div><br><div class="gmail_quote"><div dir="ltr">Le ven. 22 févr. 2019 à 00:05, Tobias Girstmair <<a href="mailto:t-passwd@girst.at">t-passwd@girst.at</a>> a écrit :<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Fri, Feb 22, 2019 at 11:55:22AM +1300, Steve Gilberd wrote:<br>
>Lars - nothing prevents the user from using the Yubikey to create a<br>
>decrypted copy, <br>
<br>
hardware tokens generally don't allow you to extract the private key <br>
again.<br>
<br>
>or re-encrypting to an additional key controlled by the<br>
>user. <br>
<br>
agree. (or just keeping the plaintext around)<br>
<br>
>While a hardware token is a good idea, confiscating it doesn't<br>
>provide a secure solution to denying an untrustworthy user access to the<br>
>password store. The only safe option is to change the passwords.<br>
<br>
indeed. the OP might be interested in <br>
<a href="https://github.com/ddevault/pass-rotate" rel="noreferrer noreferrer" target="_blank">https://github.com/ddevault/pass-rotate</a> , a tool to help change <br>
passwords on multiple online services automatically.<br>
_______________________________________________<br>
Password-Store mailing list<br>
<a href="mailto:Password-Store@lists.zx2c4.com" target="_blank" rel="noreferrer">Password-Store@lists.zx2c4.com</a><br>
<a href="https://lists.zx2c4.com/mailman/listinfo/password-store" rel="noreferrer noreferrer" target="_blank">https://lists.zx2c4.com/mailman/listinfo/password-store</a><br>
</blockquote></div>