Kommentarer
- fyi FIPS 140-2 overholdelse reducerer sikkerheden. Det ' kryptografi fra 1990erne og crypto ' bedste fremgangsmåder ' fra den æra er dybest set alt vildledt affald. Populær software har en separat " FIPS-tilstand ", der som standard er OFF af en grund. Du vil ikke ' ikke have FIPS 140-2 eller noget, der er lavet af folk, der mener, at det ' er guldstandarden. For faktisk sikkerhed skal du kigge efter ting lavet af folk, der deltager i Real World Crypto og nøje følger arbejdet i IRTF Crypto Forum Research Group (CFRG). Eksempel: Hvis de bruger RSA og ikke ' ikke planlægger at flytte til Curve25519 når som helst snart, skal du løbe langt væk. Argon2 er et godt tegn.
- Da dette er blevet en dumpingplads for produkter, og der er et accepteret svar, lukker jeg ' for at forhindre flere produktanbefalinger .
Svar
Som du skrev, kan 1-5 opnås ved hjælp af KeePass + thumb-drev.
Med hensyn til punkt 6 ser det ud til, at YubiKey allerede har tænkt på det . Du kan bruge YubiKey eller et andet HW-token med KeePass ved hjælp af OtpKeyProv plugin. Jeg kunne dog ikke finde en detaljeret forklaring på, hvordan det fungerer, og det forekommer mig ikke så meget sikkert. Jeg har en fornemmelse af, at det kunne omgåes ret let af en mere avanceret angriber.
Der er plugins til KeePass, der tillader brug af RSA-nøgler, men jeg er ikke overbevist om, at de kan bruges med et HW-token. Kontroller ( her , her og her )
RSA-nøgletilgang, hvis den implementeres korrekt, ville være meget sikker og ville beskytte mod tyveri af adgangskodevælvet fra ulåst tommelfingerdrev.
For punkt 7 skal du bare vælge et godt USB-drev, måske det, der anbefales af Steven. Men ærligt talt vil tommelfingerdrevet aldrig give en væsentlig forøgelse af sikkerheden.
Afsluttende bemærkning: KeePass kan bruges på Android, men jeg tror ikke, plugins kan være. Så brug af 2FA ville være på bekostning at bruge det på Android.
Kommentarer
- Peter, tak for et tankevækkende svar. Jeg indrømmer, at jeg er ude af mit element med det tekniske detaljer. For eksempel kender jeg ' ikke forskellen mellem engangskodeord (som brugt af Keepass OtpKeyProv-plugin) og RSA. Aren ' t de effektivt den samme ting? Hvad er forskellen mellem et hardware-token, der genererer en engangskodeord (OTP), eller en, der genererer en RSA-nøgle? Begge tjener formålet med at dekryptere adgangskoden hvælving? Eller er jeg offbase med det: OTP er strengt til MFA (og ikke dekryptering), og RSA-nøglen er til den faktiske dekryptering af Keepass-hvælvet?
- @hikingnola fordi OTPer ændres, kan de ' t bruges til dekryptering direkte. Og der er ikke ' t og kan ' ikke være en måde at få en slags ikke skiftende hemmelighed fra dem, ellers ville de ikke være engang mere. Derfor skal de måde at oversætte OTPer til en dekrypteringsnøgle være hacky og usikker IMO. RSA kan dekryptere direkte, så det ikke har brug for hacky løsninger. OTPer er beregnet til at blive brugt med godkendelse til serveren, ikke til kryptering. Derfor er de ikke særlig sikre her.
- Peter – igen tak for din tid. Jeg har ' læst lidt mere og har forstået (lidt!) Mere. Jeg forstår, hvorfor asymmetrisk kryptering / dekryptering (RSA) er passende for adgangskodens hvælvningsfil (er) og ikke OTP. Med hensyn til ovenstående udsagn om en RSA-løsning, implementeret korrekt, ville det være meget robust. Et opfølgende spørgsmål kommer til at tænke på ideen om et hardware ' token. ' Giver nogle tokens blot OTPer? Mens andre (f.eks. RSA-chipkortløsninger, der har eksisteret for evigt?), Gemmer private nøgler for at tillade netop sådan dekryptering af filer, som vi diskuterer her?
- @hikingnola Nogle tokens giver kun OTPer. Den første af disse var autentificeringsregnemaskiner, der blev brugt af banker. Nogle poletter indeholder kun RSA-nøgler for at forhindre tyveri af den private nøgle. Mange tokens i disse dage, som YubiKey, giver både (og mere), da tilføjelse af OTP-support er relativt billig, og de vil have så mange funktioner som muligt.
Svar
Oplysning: dette indlæg beskriver vores produkt men jeg synes, det er et svar på dit spørgsmål.
Dashlane + Yubikey kan være en løsning for dig.
En anden mulighed ville være HushioKey og Hushio ID Lock-app: Hushio ID Lock er Android-adgangskodeadministrator-app, og den kan Bluetooth-parres med HushioKey (tilsluttet en computer og simulerer et USB-tastatur og mere) for at undgå enhver adgangskodebinding.
BASELINE (ikke forhandles) KRAV:
- AES256 krypteret. Ingen sky.
- Login til PIN- og / eller fingeraftryk.
- Kan sikkerhedskopiere til en gammel Android-enhed efter eget valg. Sikkerhedskopiering og gendannelse kan kun ske på din forud specificerede placering (AKA-betroet placering som dit hjem).
FUNKTIONSKRAV (virkelig, virkelig ønsker disse også):
- Kan generere randomiserede adgangskoder til nye konti
-
Kan sende en adgangskode til din computer via krypteret Bluetooth 4-forbindelse. Bare tryk langt på et kontoikon. Ingen indtastning.
-
Kan gøre din smartphone til et U2F-token. Bare nå dit HushioKey med din telefon.
-
Placeringsbevidst sikkerhed. Automatisk selvlås efter registrering, der ikke er fundet på det betroede sted i en bestemt periode. Lås op ved at indtaste trust-location igen. Midlertidig pålidelig placering tilgængelig til tur / ferie.
Beklager, men ingen FIPS 140-2 niveau 3 overholdelsestest endnu.
Demo af HushioKey Laptop login: https://youtu.be/wzGs_17XUkM
Demo af HushioKey U2F-godkendelse: https://youtu.be/DGzU0OltgF4
Kommentarer
- besvarede et spørgsmål med information om dit produkt. Gør din forbindelse meget klar, ellers bliver dine indlæg markeret som spam og fjernet.
Svar
Du vil muligvis også se på mooltipass . Dette er en ekstern adgangskodelager, der er beskyttet af chipkort og PIN-kode. Det fungerer som et USB-tastatur og indsættes legitimationsoplysninger i din applikation, udløst på hardwareenheden.
Kommentarer
- Spekulerer på, om dette møder brugeren ' s krav? Ser ud som en god start, men det ville være godt at uddybe dit svar.
- OP beder om en administratoradgangskode til hardware. OP taler også om en USB-tilsluttet enhed. Mooltipass opfylder disse krav. Den er tilsluttet via USB. Krypteret. 2FA med PIN og smartcard på enheden. krypteret sikkerhedskopi … Men det kan være bedst at se på deres webside. Hvis du har mere specifikke spørgsmål, skal du skyde. Måske kan jeg svare, men jeg er kun bruger af en sådan enhed, ikke projektejeren eller sælgeren.
Svar
Snopf er en open source-løsning, du kan installere på enhver USB-nøgle. Det interagerer tilsyneladende via en browserudvidelse.
Snopf er et meget simpelt, men alligevel effektivt og let at bruge USB-adgangskodeværktøj. Snopf USB-enheden skaber en unik og stærk adgangskode til hver tjeneste fra den samme 256 bit hemmelighed, der aldrig forlader tokenet.
Når Snopf tilsluttes computeren, kan du lave en anmodning om adgangskode og derefter den røde LED lyser op. Hvis du trykker på knappen inden for 10 sekunder, vil Snopf efterligne et tastatur og indtaste adgangskoden til den ønskede service.
Svar
En anden løsning kan være nitrokey-lager .
- Leveres med flash
- fuldblæst smartcard (- > Hardwarekryptering)
- kan gemme krypterede adgangskoder på enheden
I modsætning til det kombinerede tommelfinger-drev, keepass og yubikey, har du kun brug for en enhed på en USB-port.