Kommentare
- Die FIPS 140-2-Konformität verringert die Sicherheit. Es handelt sich um ' Kryptografie aus den 1990er Jahren und Krypto ' Best Practices ' aus dieser Zeit im Grunde alles fehlgeleitete Müll. Beliebte Software verfügt über einen separaten " FIPS-Modus ", der aus einem bestimmten Grund standardmäßig auf OFF gesetzt ist. Sie möchten nicht, dass ' FIPS 140-2 oder irgendetwas von Leuten gemacht wird, die denken, dass ' der Goldstandard ist. Suchen Sie für tatsächliche Sicherheit nach Informationen, die von Personen erstellt wurden, die an Real World Crypto teilnehmen und die Arbeit der IRTF Crypto Forum Research Group (CFRG) genau verfolgen. Beispiel: Wenn sie RSA verwenden und nicht ' planen, bald zu Curve25519 zu wechseln, laufen Sie weit weg. Argon2 ist ein gutes Zeichen.
- Da dies zu einer Müllhalde für Produkte geworden ist und es eine akzeptierte Antwort gibt, schließe ich ', um weitere Produktempfehlungen zu verhindern .
Antwort
Wie Sie geschrieben haben, können 1-5 mit KeePass + USB-Stick erreicht werden.
Was Punkt 6 betrifft, scheint es, dass YubiKey bereits daran gedacht hat . Sie können YubiKey oder ein anderes HW-Token mit KeePass verwenden, indem Sie das Plugin OtpKeyProv verwenden. Ich konnte jedoch keine detaillierte Erklärung finden, wie es funktioniert, und es scheint mir nicht sehr sicher zu sein. Ich habe das Gefühl, dass es von einem fortgeschrittenen Angreifer ziemlich leicht umgangen werden könnte.
Es gibt Plugins für KeePass, die die Verwendung von RSA-Schlüsseln ermöglichen, aber ich bin nicht überzeugt, dass sie mit einem HW-Token verwendet werden können. Überprüfen Sie ( hier , hier und hier )
Der RSA-Schlüsselansatz wäre bei korrekter Implementierung sehr sicher und würde vor dem Diebstahl des Passwort-Tresors durch entsperrte USB-Sticks schützen.
Wählen Sie für Punkt 7 einfach ein gutes USB-Laufwerk aus, möglicherweise das von Steven empfohlene. Aber ehrlich gesagt wird der USB-Stick niemals eine signifikante Erhöhung der Sicherheit bieten.
Schlussbemerkung: KeePass kann auf Android verwendet werden, aber ich glaube nicht, dass die Plugins dies können. Die Verwendung von 2FA wäre also auf Kosten
Kommentare
- Peter, danke für eine nachdenkliche Antwort. Ich gebe zu, dass ich mit dem Technischen nicht in meinem Element bin Details. Zum Beispiel kenne ich ' den Unterschied zwischen Einmalkennwörtern (wie sie vom Keepass OtpKeyProv-Plugin verwendet werden) und RSA nicht. Aren ' Was ist der Unterschied zwischen einem Hardware-Token, das ein Einmalkennwort (OTP) generiert, oder einem Token, das einen RSA-Schlüssel generiert? Beide dienen dem Zweck, den Kennwort-Tresor zu entschlüsseln? Oder bin ich offbase mit dem: das OTP ist ausschließlich für MFA (und nicht für die Entschlüsselung) und der RSA-Schlüssel ist für die eigentliche Entschlüsselung des Keepass-Tresors?
- @hikingnola, da sich OTPs ändern, können sie ' t direkt zur Entschlüsselung verwendet werden. Und es gibt keine ' t und kann ' keine Möglichkeit sein, eine Art nicht veränderliches Geheimnis von ihnen zu bekommen, sonst wären sie es nicht einmalig mehr. Daher muss die Art und Weise, wie OTPs in einen Entschlüsselungsschlüssel übersetzt werden, hackig und unsicher sein. RSA kann direkt entschlüsseln, sodass keine hackigen Problemumgehungen erforderlich sind. OTPs sollen zur Authentifizierung beim Server verwendet werden, nicht zur Verschlüsselung. Deshalb sind sie hier nicht sehr sicher.
- Peter – nochmals vielen Dank für Ihre Zeit. Ich ' habe ein bisschen mehr gelesen und (etwas!) Mehr verstanden. Ich verstehe, warum asymmetrische Verschlüsselung / Entschlüsselung (RSA) für die Kennwort-Tresordatei (en) und nicht für OTP geeignet ist. In Bezug auf die obige Aussage zu einer korrekt implementierten RSA-Lösung wäre dies sehr robust. Es stellt sich eine Folgefrage zur Idee eines Hardware-Tokens '. ' Stellen einige Token einfach OTPs bereit? Während andere (z. B. RSA-Smartcard-Lösungen, die es schon immer gab?) Private Schlüssel speichern, um eine solche Entschlüsselung von Dateien zu ermöglichen, wie wir sie hier diskutieren?
- @hikingnola Einige Token bieten nur OTPs. Die ersten davon waren Authentifizierungsrechner, die von Banken verwendet wurden. Einige Token enthalten nur RSA-Schlüssel, um den Diebstahl des privaten Schlüssels zu verhindern. Viele Token, wie YubiKey, bieten heutzutage beides (und mehr), da das Hinzufügen von OTP-Unterstützung relativ billig ist und sie so viele Funktionen wie möglich haben möchten.
Antwort
Offenlegung: Dieser Beitrag beschreibt unser Produkt Ich denke jedoch, dass dies eine Antwort auf Ihre Frage ist.
Dashlane + Yubikey könnte eine Lösung für Sie sein.
Eine andere Möglichkeit wäre HushioKey und Hushio ID Lock App: Hushio ID Lock ist eine Android Passwort Manager App und kann Bluetooth mit HushioKey koppeln (an einen Computer angeschlossen und simuliert eine USB-Tastatur und mehr), um jegliches Passwortbinden zu vermeiden.
BASELINE (nicht verhandelbar) ANFORDERUNGEN:
- AES256 verschlüsselt. Keine Wolke.
- PIN- und / oder Fingerabdruck-Login.
- Kann nach Wahl auf ein altes Android-Gerät sichern. Das Sichern und Wiederherstellen kann nur an Ihrem vorgegebenen Speicherort (AKA-vertrauenswürdiger Speicherort, wie z. B. zu Hause) erfolgen ol start = „4“>
- Kann zufällige Passwörter für neue Konten generieren.
-
Kann ein Passwort über eine verschlüsselte Bluetooth 4-Verbindung an Ihren Computer senden. Tippen Sie einfach lange auf ein Kontosymbol. Keine Eingabe.
-
Kann Ihr Smartphone in ein U2F-Token verwandeln. Erreichen Sie einfach Ihren HushioKey mit Ihrem Telefon.
-
Standortbezogene Sicherheit. Automatische Selbstsperre, nachdem festgestellt wurde, dass sie sich für einen bestimmten Zeitraum nicht am vertrauenswürdigen Ort befindet. Entsperren Sie, indem Sie erneut den vertrauenswürdigen Speicherort eingeben. Temporärer vertrauenswürdiger Ort für Reise / Urlaub verfügbar.
Leider noch kein FIPS 140-2 Level 3-Konformitätstest.
Demo des HushioKey-Laptop-Logins: https://youtu.be/wzGs_17XUkM
Demo der HushioKey U2F-Authentifizierung: https://youtu.be/DGzU0OltgF4
Kommentare
- beantwortete eine Frage mit Informationen zu Ihrem Produkt. Bitte machen Sie Ihre Verbindung sehr deutlich, andernfalls werden Ihre Beiträge markiert als Spam und entfernt.
Antwort
Vielleicht möchten Sie auch einen Blick auf die Mooltipass . Dies ist ein externer Passwortspeicher, der durch Smartcard und PIN geschützt ist. Es fungiert als USB-Tastatur und fügt auf dem Hardwaregerät Anmeldeinformationen in Ihre Anwendung ein.
Kommentare
- Sie fragen sich, ob dies dem Benutzer entspricht ' Anforderungen? Sieht nach einem guten Start aus, wäre aber gut, wenn Sie Ihre Antwort näher erläutern würden.
- Das OP fragt nach einem Hardware-Passwort-Manager. Das OP spricht auch von einem über USB angeschlossenen Gerät. Der Mooltipass erfüllt diese Anforderungen. Es ist über USB angeschlossen. Verschlüsselt. 2FA mit PIN und Smartcard am Gerät. verschlüsseltes Backup … Aber es ist vielleicht am besten, einen Blick auf ihre Webseite zu werfen. Wenn Sie spezifischere Fragen haben, schießen Sie. Vielleicht kann ich antworten, aber ich bin nur ein Benutzer eines solchen Geräts, nicht der Projektbesitzer oder -anbieter.
Antwort
Snopf ist eine Open-Source-Lösung, die Sie auf jedem USB-Stick installieren können. Es interagiert anscheinend über eine Browser-Erweiterung.
Snopf ist ein sehr einfaches, aber effektives und benutzerfreundliches USB-Passwort-Tool. Das Snopf-USB-Gerät erstellt für jeden Dienst ein eindeutiges und sicheres Kennwort aus demselben 256-Bit-Geheimnis, das das Token niemals verlässt.
Immer wenn Snopf an den Computer angeschlossen ist, können Sie eine Kennwortanforderung und dann die rote LED stellen wird aufleuchten. Wenn Sie die Taste innerhalb von 10 Sekunden drücken, ahmt Snopf eine Tastatur nach und gibt das Kennwort für den angeforderten Dienst ein.
Antwort
Eine andere Lösung könnte der Nitrokey-Speicher sein.
- Kommt mit Flash
- vollständige Smartcard (- > Hardwareverschlüsselung)
- kann verschlüsselte Passwörter auf dem Gerät speichern
Im Gegensatz zur Kombination aus USB-Stick, Keepass und Yubikey benötigen Sie nur ein Gerät an einem USB-Anschluss.