Ich selber Nutze Yubikeys und bin damit vollends glücklich. Diese sind vor allem flach.
Der wesentliche Unterschied zwischen Nitrokey und Yubico ist, dass Nitrokey Open-Source ist. Für was du dich letztendlich entscheidest ist Ansichtssache. Sollte mit beiden funkionieren. Bei Yubico weiß ich, dass es mit all deinen Anforderungen definitiv funktioniert.
Aber egal für welche Variante du dich entscheidest, kaufe immer zwei. Einen für die normale Nutzung, den anderen als Backup. Sonst kann es passieren, dass du dich selber aussperrst bei Verlust oder Defekt.
Du solltest aber wissen, daß der Yubikey beim Öffnen der KeepassXC-Datenbank nicht als „echter“ 2. Faktor funktioniert sondern „nur“ 160 weitere Bit zum bestehenden Masterpasswort hinzufügt.
Auf einem komprommitierten System schützt Dich der Yubikey aber auch nicht mehr.
Ich hatte auch schon mal über einen Yubikey für KeePassXC nachgedacht aber die Idee wieder verworfen, weil alle Szenarien bei denen ein Yubikey mich besser schützen würde als Passphrase/Keyfile extrem unwahrscheinlich sind.
Natürlich gilt, wie immer, „Your System, your rules“
Ich bin gerade am gleichen Thema dran, privat (Ubuntu) mit sehr ähnlichem Nutzungsbedarf und stand vor exakt der selben Frage. Windows kommt bei mir beruflich ins Spiel, da auch dort die Einführung eines zweiten Faktors geplant ist (und ich das umsetzen darf).
Ich habe mir für das private Ausprobieren und „Erfahrungen sammeln“ jetzt einfach mal einen Nitrokey 3A Mini bestellt. Liegt derzeit noch in der Schublade, ich versuche mal, mich diese oder nächste Woche damit auseinanderzusetzen.
Die Absicherung von KeepassXC mit einem zusätzlichen Faktor hat für mich persönlich keine sonderlich große Priorität, da die mit einem langem Passwort verschlüsselte Datenbank ausschließlich auf einer mit einem noch längeren Passwort verschlüsselten Platte liegt.
Persönlich ist mir Nitrokey sympathischer, aber wenn sich damit nicht alle beruflichen Zwecke abdecken lassen, kann es für die Firma auch durchaus auf einen Yubikey (oder etwas ganz anderes) hinauslaufen.
So wie ich es verstanden habe, wird „reale“ 2FA von keepassxc generell nicht unterstützt, egal ob Yubi oder was anderes. Es gibt wohl nur den von @porcupine0815 beschriebenen „workaround“ für yubikey und onlykey, der tatsächlich nicht das ist, was man von 2FA erwartet.
Bisher ( da kein Zeitfenster genannt ) tatsächlich nicht, nein.
Der Nitrokey 3 konnte bis zu den „aktuellen“ (existieren schon eine kurze Weile) Test-Firmwareversionen - meines Wissens nach - bisher nichts außer FIDO2 & FIDO U2F.
Das reicht soweit Ich weiß für Nextcloud (2FA/Login per Fido 2/U2F), und Linux Login als auch Plattenverschlüsselung.
Natürlich reicht es auch für GrapheneOS, wobei auch zu bedenken ist, dass NFC nicht funktionieren würde, sollte man die „zukünftige“ Option nutzen wollen, „fido resident keys“ im Secure-Element zu speichern, siehe/suche Kommentar vom 14. Dezember 2022 - 7:54. Vermutlich ist das aber kein Negativpunkt gegenüber YubiKey, die können auch nicht zaubern.
Zu KeePassXC ist ja schon alles gesagt.
H/TOTP, und PGP¹ sind wohl inzwischen in der Test-Firmware verfügbar, aber solange diese nicht in der stabilen Firmware sind, sind sie nicht zum produktiven Einsatz tauglich.
Solange das Produkt nicht komplettiert ist, sollte man es aus meiner Sicht nicht unbedingt empfehlen. Wenn es das wäre, würde Ich es jedoch persönlich präferieren: Open-Source. Ich schreibe das nur, falls es übersehen wurde.
¹ mit Haken:
OpenPGP Card Alpha Veröffentlichung für Nitrokey 3
WARNUNG: Die aktuelle Implementierung ist eine Alpha-Version und eignet sich nur zum Testen. Updates können zu Datenverlusten führen (nur für OpenPGP-Schlüssel, andere Anwendungen sind davon nicht betroffen), und die Sicherheit der Schlüssel und PINs ist nicht garantiert.
) tatsächlich nicht, nein.