Im Grunde hat man dann "nur" 3 Geheimnisteile:
- den Security Key = statisches Masterpasswort + dynamisches 2FA für Alltagsdienste
- den verschlüsselten Datensilo mit Passwortmanager (=alle Passwörter) und Anleitung
- den Seed der Eltern-Wallet auf Stahlplatte aus dem mittels
BIP39 und BIP85 alle weiteren Wallets mithilfe der Anleitung abgeleitet werden können
Sofern ich da jetzt nichts übersehe, fände ich das eigentlich sehr schön kompakt, bei doch ziemlich ausgeprägten Sicherheitsvorkehrungen. Oder was denkt Ihr?
Du solltest nur die singuläre Fehlerquelle Yubikey als alleiniges Gerät zum Zugang zum verschlüsselten Datensilo vermeiden. Ein Yubikey kann verloren gehen, kann kaputt gehen, kann ggf. unbemerkt ausgelesen werden, sofern nur mit einer schwachen PIN geschützt, usw. usf.
Ich hätte da echtes Unbehagen mit, wenn ich kein Backup des statischen Passwortes hätte, mindestens in Form eines zweiten identisch eingerichteten Yubikeys (ad hoc weiß ich allerdings nicht, ob man Yubikeys derart "klonen" kann). Damit hat man natürlich wieder ein Sicherungsproblem des Backups, wenn es kein PIN-geschützter zweiter (oder dritter) Yubikey ist.