Administrador de contraseñas basado en hardware [cerrado]

Cerrada. Esta pregunta está fuera de tema . Actualmente no acepta respuestas.

Comentarios

fyi El cumplimiento de FIPS 140-2 reduce la seguridad. Es ' la criptografía de la década de 1990 y las ' mejores prácticas ' de esa época son Básicamente, toda la basura equivocada. El software popular tiene un " modo FIPS " independiente que está desactivado de forma predeterminada por un motivo. No ' no quiere FIPS 140-2, ni nada creado por personas que piensan que ' es el estándar de oro. Para seguridad real , busque material creado por personas que asisten a Real World Crypto y están siguiendo de cerca el trabajo del IRTF Crypto Forum Research Group (CFRG). Ejemplo: Si usan RSA y no ' t planean mudarse a Curve25519 en el corto plazo, huya lejos. Argon2 es una buena señal.
Dado que se ha convertido en un vertedero de productos y hay una respuesta aceptada, ' m cierro para evitar más recomendaciones de productos .

Responder

Como escribiste, se pueden lograr 1-5 usando KeePass + memoria USB.

En cuanto al punto 6, parece que YubiKey ya pensó en eso . Puede usar YubiKey u otro token de HW con KeePass usando el complemento OtpKeyProv . Sin embargo, no pude encontrar una explicación detallada de cómo funciona y no me parece muy seguro. Tengo la sensación de que un atacante más avanzado podría evitarlo con bastante facilidad.

Hay complementos para KeePass que permiten el uso de claves RSA, pero no estoy convencido de que se puedan utilizar con un token HW. Marque ( aquí , aquí y aquí )

El enfoque de la clave RSA, si se implementa correctamente, sería muy seguro y protegería contra el robo de la bóveda de contraseñas de la memoria USB desbloqueada.

Para el punto 7, elija una buena unidad USB, tal vez la recomendada por Steven. Pero, sinceramente, la memoria USB nunca proporcionará un aumento significativo en la seguridad.

Nota final: KeePass se puede usar en Android, pero no creo que los complementos puedan serlo. Por lo tanto, usar 2FA tendría un costo de usarlo en Android.

Comentarios

Peter, gracias por una respuesta atenta. Admito que estoy fuera de mi elemento con las detalles. Por ejemplo, no ' no sé la diferencia entre las contraseñas de un solo uso (como las usa el complemento Keepass OtpKeyProv) y RSA. Aren ' ¿realmente son lo mismo? ¿Cuál es la diferencia entre un token de hardware que genera una contraseña de un solo uso (OTP); o uno que genera una clave RSA? Ambos sirven para descifrar la bóveda de contraseñas? O estoy fuera de base con eso: ¿la OTP es estrictamente para MFA (y no para el descifrado) y la clave RSA es para el descifrado real de la bóveda Keepass?
@hikingnola porque las OTP cambian, pueden ' Se puede utilizar para el descifrado directamente. Y no hay ' ty no puede ' t ser una forma de obtener algún tipo de secreto que no cambie de ellos, de lo contrario no serían una vez más. Por lo tanto, la forma de traducir las OTP en una clave de descifrado tiene que ser pirateada e insegura, en mi opinión. RSA puede descifrar directamente, por lo que no necesita soluciones piratas. Las OTP están diseñadas para usarse con autenticación en el servidor, no para cifrado. Es por eso que no son muy seguros aquí.
Peter, nuevamente gracias por tu tiempo. ' he leído un poco más y entiendo (¡un poco!) Más. Entiendo por qué el cifrado / descifrado asimétrico (RSA) es apropiado para los archivos de bóveda de contraseñas y no para OTP. Con respecto a la declaración anterior sobre una solución RSA, implementada correctamente, sería muy sólida. Me viene a la mente una pregunta de seguimiento sobre la idea de un ' token de hardware. ' ¿Algunos tokens simplemente proporcionan OTP? Mientras que otros (por ejemplo, ¿soluciones de tipo de tarjeta inteligente RSA que han existido desde siempre?) Almacenan claves privadas para permitir el descifrado de archivos que estamos discutiendo aquí.
@hikingnola Algunos tokens proporcionan solo OTP. El primero de ellos fueron las calculadoras de autenticación utilizadas por los bancos. Algunos tokens solo contienen claves RSA para evitar el robo de la clave privada. Muchos tokens en estos días, como YubiKey, brindan ambos (y más), ya que agregar soporte OTP es relativamente barato y quieren tener tantas funciones como sea posible.

Respuesta

Divulgación: esta publicación describe nuestro producto , sin embargo, creo que es una respuesta a su pregunta.

Dashlane + Yubikey podría ser una solución para usted.

Otra posibilidad sería la aplicación HushioKey y Hushio ID Lock: Hushio ID Lock es una aplicación de administrador de contraseñas de Android y puede emparejarse por Bluetooth con HushioKey (conectado a una computadora y simula un teclado USB y más) para evitar cualquier vinculación de contraseña. REQUISITOS BÁSICOS (no negociables):

Cifrado AES256. Sin nubes.
PIN y / o huella digital de inicio de sesión.
Puede realizar una copia de seguridad en un dispositivo Android antiguo según su elección. La copia de seguridad y la restauración solo pueden realizarse en su ubicación preestablecida (también conocida como ubicación de confianza, como su casa).

REQUISITOS DE FUNCIONES (realmente, REALMENTE quiero estos también):

Puede generar contraseñas aleatorias para cuentas nuevas
Puede enviar una contraseña a su computadora a través de una conexión Bluetooth 4 cifrada. Solo toca prolongadamente el ícono de una cuenta. Sin escribir.
Puede convertir su teléfono inteligente en un token U2F. Simplemente acceda a su HushioKey con su teléfono.
Seguridad basada en la ubicación. Autobloqueo automático después de detectar que no se encuentra en la ubicación de confianza durante un cierto período de tiempo. Desbloquee ingresando la ubicación confiable nuevamente. Ubicación de confianza temporal disponible para viajes / vacaciones.

Lo sentimos, pero aún no hay prueba de cumplimiento de FIPS 140-2 Nivel 3.

Demostración del inicio de sesión de la computadora portátil HushioKey: https://youtu.be/wzGs_17XUkM

Demostración de la autenticación HushioKey U2F: https://youtu.be/DGzU0OltgF4

https://www.hushio.com

Comentarios

Respondió una pregunta con información sobre su producto, por favor haga su conexión muy clara, de lo contrario sus publicaciones serán marcadas como correo no deseado y eliminado.

Respuesta

Es posible que también desee echar un vistazo a la mooltipass . Este es un almacenamiento de contraseña externo, que está protegido por una tarjeta inteligente y un PIN. Actúa como un teclado USB y, activado en el dispositivo de hardware, pega las credenciales en su aplicación.

Comentarios

Se pregunta si esto se ajusta al usuario ' s requisitos? Parece un buen comienzo, pero sería bueno ampliar su respuesta.
El OP está solicitando un administrador de contraseñas de hardware. El OP también habla de un dispositivo conectado por USB. El mooltipass cumple estos requisitos. Está conectado a través de USB. Cifrado. 2FA con PIN y tarjeta inteligente en el dispositivo. copia de seguridad cifrada … Pero quizás sea mejor echar un vistazo a su página web. Si tienes misiones más específicas, dispara. Tal vez pueda responder, pero solo soy un usuario de dicho dispositivo, no el propietario o proveedor del proyecto.

Responder

Snopf es una solución de código abierto que puede instalar en cualquier llave USB. Aparentemente, interactúa a través de una extensión de navegador.

Snopf es una herramienta de contraseña USB muy simple, pero efectiva y fácil de usar. El dispositivo USB Snopf crea una contraseña única y segura para cada servicio a partir del mismo secreto de 256 bits que nunca deja el token.

Siempre que Snopf esté conectado a la computadora, puede solicitar una contraseña y luego el LED rojo se iluminará. Si presiona el botón en 10 segundos, Snopf imitará un teclado y escribirá la contraseña para el servicio solicitado.

Responder

Otra solución podría ser el nitrokey storage .

Viene con flash
tarjeta inteligente en toda regla (- > cifrado de hardware)
puede almacenar contraseñas cifradas en el dispositivo

A diferencia de la combinación de memoria USB, keepass y yubikey, solo necesita un dispositivo en un puerto USB.

Deja una respuesta Cancelar la respuesta