Chiusa. Questa domanda è fuori tema . Attualmente non accetta risposte.

Commenti

  • La conformità FIPS 140-2 riduce la sicurezza. Le ' crittografia degli anni 90 e le ' best practice ' di quellepoca sono fondamentalmente tutta la spazzatura sbagliata. Il software più diffuso ha una " modalità FIPS " disattivata per un motivo. Non ' vuoi FIPS 140-2, o qualsiasi cosa fatta da persone che pensano che ' sia il gold standard. Per una sicurezza effettiva , cerca materiale realizzato da persone che partecipano a Real World Crypto e seguono da vicino il lavoro dellIRTF Crypto Forum Research Group (CFRG). Esempio: se usano RSA e non ' pianificano di passare a Curve25519 in qualsiasi momento presto, scappa lontano. Argon2 è un buon segno.
  • Dato che questo è diventato una discarica per i prodotti e cè una risposta accettata, io ' chiudo per evitare ulteriori consigli sui prodotti .

Risposta

Come hai scritto, 1-5 può essere ottenuto utilizzando KeePass + pen drive.

Per quanto riguarda il punto 6, sembra che YubiKey ci abbia già pensato . Puoi utilizzare YubiKey o un altro token HW con KeePass utilizzando il plug-in OtpKeyProv . Tuttavia, non sono riuscito a trovare una spiegazione dettagliata di come funziona e non mi sembra molto sicuro. Ho la sensazione che potrebbe essere aggirato abbastanza facilmente da un attaccante più avanzato.

Ci sono plugin per KeePass che consentono luso di chiavi RSA, ma non sono convinto che siano utilizzabili con un token HW. Controlla ( qui , qui e qui )

Lapproccio con chiave RSA, se implementato correttamente, sarebbe molto sicuro e proteggerebbe dal furto del vault password da chiavette sbloccate.

Per il punto 7, scegli una buona unità USB, magari quella consigliata da Steven. Ma onestamente, la pen drive non fornirà mai un aumento significativo della sicurezza.

Nota finale: KeePass può essere utilizzato su Android, ma non credo che i plug-in possano esserlo. Quindi utilizzare 2FA sarebbe un costo di usarlo su Android.

Commenti

  • Peter, grazie per la premurosa risposta. Ammetto che sono fuori dal mio elemento con la tecnica dettagli. Ad esempio, ' non conosco la differenza tra le password monouso (utilizzate dal plug-in Keepass OtpKeyProv) e RSA. Aren ' t effettivamente la stessa cosa? Qual è la differenza tra un token hardware che genera una password monouso (OTP) o uno che genera una chiave RSA? Entrambi hanno lo scopo di decrittografare il vault delle password? O sono fuori base con questo: lOTP è strettamente per lMFA (e non per la decrittografia) e la chiave RSA è per leffettiva decrittografia del deposito Keepass?
  • @hikingnola perché le OTP cambiano, possono ' t essere utilizzato direttamente per la decrittazione. E non esiste ' te ' t essere un modo per ottenere una sorta di non cambiare il segreto da loro, altrimenti non lo sarebbero più una volta. Pertanto il modo in cui tradurre le OTP in una chiave di decrittazione deve essere un IMO hacky e insicuro. RSA può decrittografare direttamente, quindi non necessita di soluzioni alternative. Le OTP devono essere utilizzate con lautenticazione al server, non per la crittografia. Questo è il motivo per cui non sono molto al sicuro qui.
  • Peter – di nuovo grazie per il tuo tempo. Ho ' letto un po di più e ne ho capito (leggermente!) Di più. Capisco perché la crittografia / decrittografia asimmetrica (RSA) è appropriata per i file di vault delle password e non per OTP. La dichiarazione di cui sopra su una soluzione RSA, implementata correttamente, sarebbe molto robusta. Mi viene in mente una domanda successiva riguardante lidea di un ' token hardware. ' Alcuni token forniscono semplicemente OTP? Mentre altri (ad es. Soluzioni di tipo smart card RSA che esistono da sempre?) Memorizzano chiavi private per consentire solo la decrittografia dei file di cui stiamo discutendo qui?
  • @hikingnola Alcuni token forniscono solo OTP. I primi di questi erano calcolatori di autenticazione utilizzati dalle banche. Alcuni token contengono solo chiavi RSA, per prevenire il furto della chiave privata. Molti token in questi giorni, come YubiKey, forniscono entrambi (e altri), poiché laggiunta del supporto OTP è relativamente economico e vogliono avere quante più funzionalità possibili.

Risposta

Divulgazione: questo post descrive il nostro prodotto , tuttavia penso che sia una risposta alla tua domanda.

Dashlane + Yubikey potrebbe essere una soluzione per te.

Unaltra possibilità sarebbe HushioKey e lapp Hushio ID Lock: Hushio ID Lock è unapp per la gestione delle password Android e può accoppiarsi Bluetooth con HushioKey (collegato a un computer e simula una tastiera USB e altro) per evitare qualsiasi legatura della password.

REQUISITI BASELINE (non negoziabili):

  1. AES256 crittografato. Nessuna nuvola.
  2. Accesso tramite PIN e / o impronta digitale.
  3. Puoi eseguire il backup su un vecchio dispositivo Android a tua scelta. Il backup e il ripristino possono avvenire solo nella tua posizione pre-specificata (AKA posizione attendibile, come la tua casa).

REQUISITI DELLE FUNZIONI (davvero, DAVVERO anche questi):

  1. Può generare password casuali per nuovi account

  2. Può inviare una password al tuo computer tramite connessione Bluetooth 4 crittografata. Basta toccare a lungo unicona dellaccount. Nessuna digitazione.

  3. Può trasformare il tuo smartphone in un token U2F. Basta raggiungere il tuo HushioKey con il tuo telefono.

  4. Sicurezza in base alla posizione. Autobloccaggio automatico dopo aver rilevato non nella posizione attendibile per un certo periodo di tempo. Sblocca inserendo nuovamente la posizione attendibile. Luogo attendibile temporaneo disponibile per viaggi / vacanze.

Spiacenti ma non ancora test di conformità FIPS 140-2 Livello 3.

Demo di accesso al laptop HushioKey: https://youtu.be/wzGs_17XUkM

Demo dellautenticazione HushioKey U2F: https://youtu.be/DGzU0OltgF4

https://www.hushio.com

Commenti

  • ha risposto a una domanda con informazioni sul tuo prodotto, ti preghiamo di chiarire la tua connessione, altrimenti i tuoi post verranno contrassegnati come spam e rimosso.

Risposta

Potresti anche dare unocchiata al mooltipass . Si tratta di un archivio di password esterno, protetto da smartcard e PIN. Funziona come una tastiera USB e, attivato sul dispositivo hardware, incolla le credenziali nellapplicazione.

Commenti

  • Chiedendosi se questo soddisfa lutente ' requisiti? Sembra un buon inizio, ma sarebbe utile elaborare la tua risposta.
  • LOP chiede un gestore di password hardware. LOP parla anche di un dispositivo collegato tramite USB. Il mooltipass soddisfa questi requisiti. È collegato tramite USB. Crittografato. 2FA con PIN e smartcard sul dispositivo. backup crittografato … Ma potrebbe essere meglio dare unocchiata alla loro pagina web. Se hai domande più specifiche, spara. Forse posso rispondere, ma sono solo un utente di tale dispositivo, non il proprietario o il fornitore del progetto.

Risposta

Snopf è una soluzione open source che puoi installare su qualsiasi chiave USB. Apparentemente interagisce tramite unestensione del browser.

Snopf è uno strumento per password USB molto semplice, ma efficace e facile da usare. Il dispositivo USB Snopf crea una password univoca e complessa per ogni servizio dallo stesso segreto a 256 bit che non lascia mai il token.

Ogni volta che Snopf è collegato al computer è possibile effettuare una richiesta di password e quindi il LED rosso si accenderà. Se premi il pulsante entro 10 secondi, Snopf imiterà una tastiera e digiterà la password per il servizio richiesto.

Risposta

Unaltra soluzione potrebbe essere l archiviazione nitrokey .

  • Viene fornito con flash
  • smartcard completa (- > Crittografia hardware)
  • può memorizzare password crittografate sul dispositivo

A differenza della combinazione di pen drive, keepass e yubikey, hai solo bisogno di un dispositivo su una porta USB.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *