Komentáře
- dodržování předpisů FIPS 140-2 fyi snižuje zabezpečení. Je to ' kryptografie 90. let a krypto ' osvědčené postupy ' z té doby jsou v podstatě všechny zavádějící koše. Populární software má samostatný " režim FIPS ", který je z nějakého důvodu standardně vypnutý. Nechcete ' FIPS 140-2 nebo cokoli od lidí, kteří si myslí, že to ' je zlatým standardem. Pro skutečné zabezpečení hledejte věci od lidí, kteří navštěvují Real World Crypto a pečlivě sledují práci IRTF Crypto Forum Research Group (CFRG). Příklad: Pokud používají RSA a ' neplánují se brzy přestěhovat do Curve25519, utíkejte daleko. Argon2 je dobré znamení.
- Jelikož se z toho stala skládka produktů a existuje přijatá odpověď, zavírám se ', abych zabránil dalším doporučením produktů .
Odpověď
Jak jste psali, 1-5 lze dosáhnout pomocí klíče KeePass +.
Pokud jde o bod 6, zdá se, že na to YubiKey již myslel . S KeePass můžete použít YubiKey nebo jiný HW token pomocí pluginu OtpKeyProv . Nemohl jsem však najít podrobné vysvětlení, jak to funguje, a nezdá se mi to příliš bezpečné. Mám pocit, že by ho pokročilejší útočník mohl snadno obejít.
Existují doplňky pro KeePass, které umožňují použití klíčů RSA, ale nejsem přesvědčen, že jsou použitelné s HW tokenem. Zkontrolujte ( zde , zde a zde )
Klíčový přístup RSA, pokud je správně implementován, by byl velmi bezpečný a chránil by proti krádeži trezoru hesel z odemčené jednotky palce.
V bodě 7 stačí vybrat dobrý disk USB, možná ten, který doporučil Steven. Ale upřímně řečeno, flash disk nikdy nepřinese výrazné zvýšení bezpečnosti.
Závěrečná poznámka: KeePass lze použít na Androidu, ale nevěřím, že pluginy mohou být. Takže použití 2FA by bylo za cenu používání v systému Android.
Komentáře
- Petře, děkuji za promyšlenou odpověď. Přiznávám, že jsem s technickým vymyšlením podrobnosti. Například neznám ' rozdíl mezi jednorázovými hesly (používanými pluginem Keepass OtpKeyProv) a RSA. Aren ' t fakticky totéž? Jaký je rozdíl mezi hardwarovým tokenem, který generuje jednorázové heslo (OTP); nebo tím, který generuje klíč RSA? Oba slouží k dešifrování trezoru hesel? Nebo jsem mimo základnu s tím: OTP je výhradně pro MFA (a ne dešifrování) a klíč RSA je pro skutečné dešifrování trezoru Keepass?
- @hikingnola, protože OTP se mění, mohou ' nelze použít k přímému dešifrování. A neexistuje ' ta nemůže být ' způsob, jak od nich získat nějaký druh neměnného tajemství, jinak by nebyli už jednou. Proto musí být způsob, jak převést OTP na dešifrovací klíč, hackovaný a nejistý IMO. RSA může dešifrovat přímo, takže nepotřebuje alternativní řešení. OTP jsou určena k použití s ověřováním na server, nikoli k šifrování. Proto zde nejsou příliš bezpečné.
- Peter – ještě jednou děkuji za váš čas. ' jsem udělal trochu více čtení a rozuměl (trochu!) Více. Chápu, proč je pro soubory úschovny hesel vhodné asymetrické šifrování / dešifrování (RSA), a nikoli OTP. Pokud jde o výše uvedené tvrzení o řešení RSA, správně implementovaném, by bylo velmi robustní. Na mysl přijde následná otázka týkající se myšlenky hardwarového ' tokenu. ' Poskytují některé tokeny jednoduše OTP? Zatímco ostatní (např. Řešení typu smart card RSA, která tu byla navždy?), Ukládají soukromé klíče, aby umožnily právě takové dešifrování souborů, o kterých zde diskutujeme?
- @hikingnola Některé tokeny poskytují pouze OTP. První z nich byly autentizační kalkulačky používané bankami. Některé tokeny obsahují pouze klíče RSA, aby se zabránilo krádeži soukromého klíče. Mnoho tokenů v dnešní době, jako je YubiKey, poskytuje obojí (a další), protože přidání podpory OTP je relativně levné a chtějí mít co nejvíce funkcí.
Odpověď
Zveřejnění: tento příspěvek popisuje náš produkt , nicméně si myslím, že je to odpověď na vaši otázku.
Dashlane + Yubikey by pro vás mohlo být řešením.
Další možnost by byla aplikace HushioKey a Hushio ID Lock: Hushio ID Lock je aplikace pro správu hesel pro Android a dokáže Bluetooth spárovat s HushioKey (zapojený do počítače a simuluje USB klávesnici a další), aby se zabránilo vázání hesla.
ZÁKLADNÍ (nevyjednatelné) POŽADAVKY:
- AES256 šifrováno. Žádný mrak.
- Přihlášení pomocí kódu PIN nebo otisku prstu.
- Může zálohovat na staré zařízení Android podle vašeho výběru. Zálohování a obnova může probíhat pouze ve vašem předem určeném umístění (důvěryhodné umístění AKA, jako je váš domov).
POŽADAVKY NA FUNKCE (opravdu, SKUTEČNĚ také chcete):
- Může generovat náhodná hesla pro nové účty
-
Může odesílat heslo do vašeho počítače pomocí šifrovaného připojení Bluetooth 4. Stačí dlouho klepnout na ikonu účtu. Žádné psaní.
-
Může ze smartphonu udělat token U2F. Stačí se dostat k telefonu HushioKey.
-
Zabezpečení s ohledem na polohu. Automatické uzamčení po zjištění, že po určitou dobu není v důvěryhodném místě. Odemkněte opětovným zadáním důvěryhodného umístění. Dočasné důvěryhodné místo k dispozici pro cestu / dovolenou.
Omlouváme se, ale zatím není proveden test souladu se standardem FIPS 140-2 úrovně 3.
Ukázka přihlášení k notebooku HushioKey: https://youtu.be/wzGs_17XUkM
Ukázka ověřování HushioKey U2F: https://youtu.be/DGzU0OltgF4
Komentáře
- odpověděli na otázku s informacemi o vašem produktu, uveďte prosím své spojení velmi jasně, jinak budou vaše příspěvky označeny jako spam a odstraněno.
Odpovědět
Můžete se také podívat na mooltipass . Toto je externí úložiště hesel, které je chráněno čipovou kartou a PIN. Funguje jako klávesnice USB a při spuštění na hardwarovém zařízení vloží pověření do vaší aplikace.
Komentáře
- Zajímá vás, jestli se to s uživatelem setká ' s požadavky? Vypadá to jako dobrý začátek, ale bylo by dobré rozpracovat vaši odpověď.
- OP požaduje hardwarového správce hesel. OP také hovoří o zařízení připojeném k USB. Mooltipass tyto požadavky splňuje. Je připojen přes USB. Šifrované. 2FA s PIN a čipovou kartou na zařízení. šifrovaná záloha … Ale mohlo by být nejlepší podívat se na jejich webovou stránku. Máte-li konkrétnější otázky, střílejte. Možná mohu odpovědět, ale jsem pouze uživatelem takového zařízení, nikoli vlastníkem nebo prodejcem projektu.
Odpovědět
Snopf je řešení open-source, které můžete nainstalovat na libovolný klíč USB. Zjevně interaguje prostřednictvím rozšíření prohlížeče.
Snopf je velmi jednoduchý, ale efektivní a snadno použitelný nástroj pro heslo USB. USB zařízení Snopf vytváří jedinečné a silné heslo pro každou službu ze stejného 256bitového tajemství, které nikdy neopustí token.
Kdykoli je Snopf zapojen do počítače, můžete požádat o heslo a poté červená LED se rozsvítí. Pokud stisknete tlačítko do 10 sekund, napodobí Snopf klávesnici a zadá heslo pro požadovanou službu.
Odpovědět
Dalším řešením by mohlo být úložiště nitrokey .
- Dodává se s bleskem
- plnohodnotná čipová karta (- > hardwarové šifrování)
- může do zařízení ukládat zašifrovaná hesla
Na rozdíl od kombinace flash disku, keepass a yubikey potřebujete pouze jedno zařízení na jednom USB portu.