Kommentarer
- fyi FIPS 140-2-overholdelse reduserer sikkerheten. Den ' kryptografi fra 1990-tallet, og krypto ' beste fremgangsmåter ' fra den tiden i utgangspunktet alt misforstått søppel. Populær programvare har en egen " FIPS-modus " som standard er AV for en grunn. Du vil ikke ' ikke ha FIPS 140-2, eller noe som helst laget av folk som tror det ' er gullstandarden. For faktisk sikkerhet, se etter ting laget av folk som deltar i Real World Crypto og følger nøye med på arbeidet til IRTF Crypto Forum Research Group (CFRG). Eksempel: Hvis de bruker RSA og ikke ' ikke planlegger å flytte til Curve25519 når som helst snart, løp langt unna. Argon2 er et godt tegn.
- Siden dette har blitt en dumpingplass for produkter, og det er et akseptert svar, lukker jeg ' for å forhindre flere produktanbefalinger .
Svar
Som du skrev, kan 1-5 oppnås ved hjelp av KeePass + tommelstasjon.
Når det gjelder punkt 6, virker det YubiKey tenkte allerede på det . Du kan bruke YubiKey eller annet HW-token med KeePass ved å bruke pluggen OtpKeyProv . Imidlertid kunne jeg ikke finne en detaljert forklaring på hvordan det fungerer, og det virker ikke for meg som veldig sikkert. Jeg har en følelse av at det kan omgåes ganske enkelt av en mer avansert angriper.
Det er plugins for KeePass som tillater bruk av RSA-nøkler, men jeg er ikke overbevist om at de kan brukes med et HW-token. Sjekk ( her , her og her )
RSA-nøkkeltilnærmingen hvis den implementeres riktig, ville være veldig sikker og ville beskytte mot tyveri av passordhvelvet fra ulåst tommelstasjon.
For punkt 7 er det bare å velge en god USB-stasjon, kanskje den som anbefales av Steven. Men ærlig talt vil tommelfingerstasjonen aldri gi betydelig økning i sikkerhet.
Avsluttende merknad: KeePass kan brukes på Android, men jeg tror ikke pluginene kan være det. Så bruk av 2FA vil være på bekostning å bruke den på Android.
Kommentarer
- Peter, takk for et gjennomtenkt svar. Jeg innrømmer at jeg er ute av meg med det tekniske detaljer. For eksempel vet jeg ikke ' forskjellen mellom engangspassord (som brukt av Keepass OtpKeyProv-plugin) og RSA. Aren ' t de effektivt det samme? Hva er forskjellen mellom et maskinvaretoken som genererer et engangspassord (OTP); eller en som genererer en RSA-nøkkel? Begge tjener formålet med å dekryptere passordhvelvet? Eller er jeg offbase med det: OTP er strengt tatt for MFA (og ikke dekryptering) og RSA-nøkkelen er for faktisk dekryptering av Keepass-hvelvet?
- @hikingnola fordi OTP endres, kan de ' ikke brukes til dekryptering direkte. Og det er ikke ' t og kan ' t være en måte å få en slags ikke å endre hemmelighet fra dem, ellers ville de ikke være engang lenger. Derfor må de oversette OTP til en dekrypteringsnøkkel være hacky og usikker IMO. RSA kan dekryptere direkte, slik at det ikke trenger hacky løsninger. OTP-er er ment å brukes med autentisering til server, ikke for kryptering. Det er derfor de ikke er veldig sikre her.
- Peter – igjen takk for tiden din. Jeg ' har lest litt mer, og forstår (litt!) Mer. Jeg forstår hvorfor asymmetrisk kryptering / dekryptering (RSA) er passende for passordhvelvfilene, og ikke OTP. Når det gjelder utsagnet ovenfor om en RSA-løsning, implementert riktig, ville det være veldig robust. Et oppfølgingsspørsmål kommer til tankene angående ideen om et maskinvarediv ' -token. ' Gir noen tokens bare OTP? Mens andre (f.eks. RSA-smartkortløsninger som har eksistert for alltid?) Lagrer private nøkler for å tillate akkurat slik dekryptering av filer som vi diskuterer her?
- @hikingnola Noen tokens gir bare OTP-er. Den første av disse var autentiseringskalkulatorer som ble brukt av banker. Noen tokens har bare RSA-nøkler for å forhindre tyveri av den private nøkkelen. Mange tokens i disse dager, som YubiKey, gir både (og mer), da det er relativt billig å legge til OTP-støtte, og de vil ha så mange funksjoner som mulig.
Svar
Opplysning: dette innlegget beskriver produktet vårt , men jeg tror det er et svar på spørsmålet ditt.
Dashlane + Yubikey kan være en løsning for deg.
En annen mulighet ville være HushioKey og Hushio ID Lock-app: Hushio ID Lock er Android-passordbehandling-app, og den kan Bluetooth-pares med HushioKey (koblet til en datamaskin og simulerer et USB-tastatur og mer) for å unngå passordbinding.
BASELINE (ikke omsettelige) KRAV:
- AES256 kryptert. Ingen sky.
- Innlogging med PIN og / eller fingeravtrykk.
- Kan sikkerhetskopiere til en gammel Android-enhet etter eget valg. Sikkerhetskopiering og gjenoppretting kan bare skje på det forhåndsinnstilte stedet ditt (AKA pålitelig sted, som ditt hjem).
FUNKSJONSKRAV (virkelig, virkelig ønsker disse også):
- Kan generere randomiserte passord for nye kontoer
-
Kan sende et passord til datamaskinen din via kryptert Bluetooth 4-tilkobling. Bare trykk lenge på et kontoikon. Ingen skriving.
-
Kan gjøre smarttelefonen din til et U2F-token. Bare nå HushioKey med telefonen.
-
Posisjonsbevisst sikkerhet. Automatisk selvlåsing etter å ha oppdaget at du ikke har det pålitelige stedet i en viss periode. Lås opp ved å angi klarert-sted igjen. Midlertidig pålitelig plassering tilgjengelig for tur / ferie.
Beklager, men ingen FIPS 140-2 nivå 3 samsvarstest ennå.
Demo av HushioKey Laptop-pålogging: https://youtu.be/wzGs_17XUkM
Demo for HushioKey U2F-autentisering: https://youtu.be/DGzU0OltgF4
Kommentarer
- svarte på et spørsmål med informasjon om produktet ditt. Vennligst gjør forbindelsen din veldig tydelig, ellers blir innleggene dine flagget som søppelpost og fjernet.
Svar
Det kan også være lurt å ta en titt på mooltipass . Dette er en ekstern passordlagring, som er beskyttet av smartkort og PIN-kode. Det fungerer som et USB-tastatur, og, utløst på maskinvareenheten, lim inn legitimasjon i applikasjonen din.
Kommentarer
- Lurer på om dette møter brukeren ' s krav? Ser ut som en god start, men det vil være greit å utdype svaret ditt.
- OPEN ber om en maskinvarepassordbehandling. OP snakker også om en USB-tilkoblet enhet. Mooltipass oppfyller disse kravene. Den er koblet til via USB. Kryptert. 2FA med PIN og smartkort på enheten. kryptert sikkerhetskopi … Men det kan være best å ta en titt på nettsiden deres. Hvis du har mer spesifikke spørsmål, skyte. Kanskje jeg kan svare, men jeg er bare bruker av en slik enhet, ikke prosjekteier eller leverandør.
Svar
Snopf er en åpen kildekodeløsning du kan installere på hvilken som helst USB-nøkkel. Det samhandler tilsynelatende via en nettleserutvidelse.
Snopf er et veldig enkelt, men effektivt og brukervennlig USB-passordverktøy. Snopf USB-enhet skaper et unikt og sterkt passord for hver tjeneste fra den samme 256 bit hemmeligheten som aldri forlater tokenet.
Når Snopf kobles til datamaskinen, kan du be om passord og deretter den røde LED-en vil lyse opp. Hvis du trykker på knappen innen ti sekunder, vil Snopf etterligne et tastatur og skrive inn passordet for den forespurte tjenesten.
Svar
En annen løsning kan være lagring av nitrokey .
- Leveres med flash
- fullblåst smartkort (- > Maskinvarekryptering)
- kan lagre krypterte passord på enheten
I motsetning til kombinasjonen tommelstasjon, keepass og yubikey, trenger du bare en enhet på en USB-port.