Clôturé. Cette question est hors sujet . Il naccepte pas les réponses actuellement.

Commentaires

  • La conformité FIPS 140-2 réduit la sécurité. La ' est la cryptographie des années 1990 et la crypto ' les meilleures pratiques ' de cette époque sont essentiellement toutes les ordures malavisées. Les logiciels populaires ont un " mode FIPS " qui est désactivé par défaut pour une raison. Vous ne voulez ' pas FIPS 140-2, ou quoi que ce soit fait par des gens qui pensent que ' est l’étalon-or. Pour la sécurité réelle , recherchez des éléments créés par des personnes qui fréquentent Real World Crypto et suivent de près les travaux du groupe de recherche IRTF Crypto Forum (CFRG). Exemple: Sils utilisent RSA et ne prévoient ' de passer à Curve25519 de sitôt, fuyez loin. Argon2 est un bon signe.
  • Puisque cest devenu un dépotoir pour les produits, et quil y a une réponse acceptée, je ' m ferme pour empêcher plus de recommandations de produits .

Réponse

Comme vous lavez écrit, 1 à 5 peut être atteint en utilisant la clé USB KeePass +.

Quant au point 6, il semble que YubiKey y ait déjà pensé . Vous pouvez utiliser YubiKey ou un autre jeton matériel avec KeePass en utilisant le plugin OtpKeyProv . Cependant, je nai pas pu trouver dexplication détaillée sur son fonctionnement et cela ne me semble pas très sûr. Jai le sentiment quil pourrait être contourné assez facilement par un attaquant plus avancé.

Il existe des plugins pour KeePass qui permettent lutilisation de clés RSA, mais je ne suis pas convaincu quils soient utilisables avec un token HW. Vérifiez ( ici , ici et ici )

Lapproche de la clé RSA, si elle est correctement mise en œuvre, serait très sécurisée et protégerait contre le vol du coffre-fort de mots de passe dune clé USB déverrouillée.

Pour le point 7, choisissez simplement une bonne clé USB, peut-être celle recommandée par Steven. Mais honnêtement, la clé USB ne fournira jamais une augmentation significative de la sécurité.

Note finale: KeePass peut être utilisé sur Android, mais je ne pense pas que les plugins puissent lêtre. Donc, utiliser 2FA serait au prix coûtant de lutiliser sur Android.

Commentaires

  • Peter, merci pour une réponse réfléchie. Javoue que je suis hors de mon élément avec la technique détails. Par exemple, je ne ' ne connais pas la différence entre les mots de passe à usage unique (utilisés par le plug-in Keepass OtpKeyProv) et RSA. Aren ' t-ils effectivement la même chose? Quelle est la différence entre un jeton matériel qui génère un mot de passe à usage unique (OTP); ou celui qui génère une clé RSA? Les deux servent à déchiffrer le coffre-fort de mots de passe? Ou suis-je hors de la base avec ça: lOTP est strictement pour MFA (et non pour le déchiffrement) et la clé RSA est pour le déchiffrement réel du coffre-fort Keepass?
  • @hikingnola parce que les OTP changent, ils peuvent ' t être utilisé pour le décryptage directement. Et il ny a pas ' t et ne peut ' t être un moyen dobtenir une sorte de secret sans changement de leur part, sinon ils ne le seraient pas une seule fois plus. Par conséquent, leur façon de traduire les OTP en une clé de décryptage doit être piratée et non sécurisée IMO. RSA peut déchiffrer directement, il na donc pas besoin de solutions de contournement piratées. Les OTP sont destinés à être utilisés avec lauthentification au serveur, pas pour le chiffrement. Cest pourquoi ils ne sont pas très en sécurité ici.
  • Peter – encore merci pour votre temps. Jai ' fait un peu plus de lecture, et je comprends (un peu!) Plus. Je comprends pourquoi le cryptage / décryptage asymétrique (RSA) est approprié pour le (s) fichier (s) de coffre-fort de mot de passe, et non OTP. Concernant la déclaration ci-dessus à propos dune solution RSA, mise en œuvre correctement, serait très robuste. Une question complémentaire me vient à lesprit concernant lidée dun jeton matériel '. ' Certains jetons fournissent-ils simplement des OTP? Alors que dautres (par exemple, les solutions de type carte à puce RSA qui existent depuis toujours?) Stockent des clés privées pour permettre le décryptage des fichiers comme nous en discutons ici?
  • @hikingnola Certains jetons ne fournissent que des OTP. Les premiers dentre eux étaient des calculateurs dauthentification utilisés par les banques. Certains jetons ne contiennent que des clés RSA, pour éviter le vol de la clé privée. De nos jours, de nombreux jetons, comme YubiKey, fournissent les deux (et plus), car lajout de la prise en charge dOTP est relativement bon marché et ils veulent avoir autant de fonctionnalités que possible.

Réponse

Divulgation: cet article décrit notre produit , cependant je pense que cest une réponse à votre question.

Dashlane + Yubikey pourrait être une solution pour vous.

Une autre possibilité serait lapplication HushioKey et Hushio ID Lock: Hushio ID Lock est une application de gestion de mot de passe Android et peut être couplée Bluetooth avec HushioKey (branché sur un ordinateur et simule un clavier USB et plus) pour éviter toute liaison de mot de passe.

EXIGENCES DE BASE (non négociables):

  1. AES256 crypté. Pas de nuage.
  2. Connexion par code PIN et / ou empreinte digitale.
  3. Peut sauvegarder sur un ancien appareil Android selon votre choix. La sauvegarde et la restauration ne peuvent avoir lieu que dans votre emplacement prédéfini (emplacement de confiance AKA, comme votre domicile).

EXIGENCES DES FONCTIONNALITÉS (les veulent vraiment, VRAIMENT aussi):

  1. Peut générer des mots de passe aléatoires pour les nouveaux comptes
  2. Peut envoyer un mot de passe à votre ordinateur via une connexion Bluetooth 4 cryptée. Appuyez longuement sur une icône de compte. Aucune saisie.

  3. Peut transformer votre smartphone en jeton U2F. Accédez simplement à votre HushioKey avec votre téléphone.

  4. Sécurité tenant compte de la localisation. Verrouillage automatique automatique après détection de ne pas être à lemplacement de confiance pendant un certain temps. Déverrouillez en saisissant à nouveau lemplacement de confiance. Lieu de confiance temporaire disponible pour les voyages / vacances.

Désolé, mais pas encore de test de conformité FIPS 140-2 niveau 3.

Démonstration de la connexion de lordinateur portable HushioKey: https://youtu.be/wzGs_17XUkM

Démo de lauthentification HushioKey U2F: https://youtu.be/DGzU0OltgF4

https://www.hushio.com

Commentaires

  • a répondu à une question avec des informations sur votre produit, veuillez préciser votre connexion, sinon vos messages seront signalés comme spam et supprimé.

Réponse

Vous voudrez peut-être aussi jeter un œil à la mooltipass . Il sagit dun stockage de mots de passe externe, protégé par une carte à puce et un code PIN. Il agit comme un clavier USB et, déclenché sur le périphérique matériel, collez les identifiants dans votre application.

Commentaires

  • Vous vous demandez si cela correspond à lutilisateur '? Cela semble être un bon début, mais il serait bon de développer votre réponse.
  • Le PO demande un gestionnaire de mots de passe matériel. LOP parle également dun appareil connecté USB. Le mooltipass remplit ces conditions. Il est connecté via USB. Crypté. 2FA avec code PIN et carte à puce sur lappareil. sauvegarde cryptée … Mais il serait peut-être préférable de jeter un œil à leur page Web. Si vous avez des questions plus spécifiques, tirez. Je peux peut-être répondre, mais je ne suis quun utilisateur de cet appareil, pas le propriétaire ou le fournisseur du projet.

Réponse

Snopf est une solution open-source que vous pouvez installer sur nimporte quelle clé USB. Il interagit apparemment via une extension de navigateur.

Snopf est un outil de mot de passe USB très simple, mais efficace et facile à utiliser. Le périphérique USB Snopf crée un mot de passe unique et fort pour chaque service à partir du même secret 256 bits qui ne quitte jamais le jeton.

Chaque fois que Snopf est branché sur lordinateur, vous pouvez faire une demande de mot de passe, puis la LED rouge sallumera. Si vous appuyez sur le bouton dans les 10 secondes, Snopf imitera un clavier et saisira le mot de passe du service demandé.

Réponse

Une autre solution pourrait être le stockage nitrokey .

  • Livré avec flash
  • carte à puce complète (- > chiffrement matériel)
  • peut stocker des mots de passe chiffrés sur lappareil

Contrairement à la combinaison clé USB, keepass et yubikey, vous navez besoin que dun seul appareil sur un port USB.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *