Gesloten. Deze vraag is off-topic . Het accepteert momenteel geen antwoorden.

Opmerkingen

  • fyi FIPS 140-2 compliance vermindert de beveiliging. Het ' s cryptografie uit de jaren 90 en crypto ' praktische tips ' uit die tijd zijn eigenlijk alle misleide afval. Populaire software heeft een aparte " FIPS-modus " die om een bepaalde reden standaard UIT staat. U wilt geen ' FIPS 140-2, of iets dat is gemaakt door mensen die denken dat ' de gouden standaard is. Voor daadwerkelijke beveiliging, zoek naar dingen die zijn gemaakt door mensen die Real World Crypto bijwonen en het werk van de IRTF Crypto Forum Research Group (CFRG) nauw volgen. Voorbeeld: als ze RSA gebruiken en niet ' van plan zijn om binnenkort naar Curve25519 te verhuizen, ren dan ver weg. Argon2 is een goed teken.
  • Aangezien dit een stortplaats voor producten is geworden, en er een geaccepteerd antwoord is, moet ik ' m sluiten om meer productaanbevelingen te voorkomen .

Antwoord

Zoals je schreef, kan 1-5 worden bereikt met KeePass + thumb drive.

Wat punt 6 betreft, het lijkt erop dat YubiKey daar al aan heeft gedacht . Je kunt YubiKey of een ander HW-token gebruiken met KeePass met de OtpKeyProv plug-in. Ik kon echter geen gedetailleerde uitleg vinden over hoe het werkt en het lijkt mij ook niet erg veilig. Ik heb het gevoel dat het vrij gemakkelijk kan worden omzeild door een meer gevorderde aanvaller.

Er zijn plug-ins voor KeePass die het gebruik van RSA-sleutels mogelijk maken, maar ik ben er niet van overtuigd dat ze bruikbaar zijn met een HW-token. Controleer ( hier , hier en hier )

De RSA-sleutelbenadering, indien correct geïmplementeerd, zou zeer veilig zijn en zou beschermen tegen diefstal van de wachtwoordkluis door een ontgrendelde USB-stick.

Kies voor punt 7 gewoon een goede USB-drive, misschien degene die wordt aanbevolen door Steven. Maar eerlijk gezegd zal de USB-stick de beveiliging nooit significant verhogen.

Laatste opmerking: KeePass kan worden gebruikt op Android, maar ik geloof niet dat de plug-ins dat kunnen zijn. Dus het gebruik van 2FA zou ten koste gaan van van het gebruik ervan op Android.

Opmerkingen

  • Peter, bedankt voor een doordachte reactie. Ik geef toe dat ik niet in mijn element zit met de technische details. Ik weet bijvoorbeeld niet ' het verschil tussen eenmalige wachtwoorden (zoals gebruikt door de Keepass OtpKeyProv plug-in) en RSA. Aren ' t ze in feite hetzelfde zijn? Wat is het verschil tussen een hardwaretoken die een eenmalig wachtwoord (OTP) genereert of een die een RSA-sleutel genereert? Beide dienen om de wachtwoordkluis te decoderen? Of ben ik offbase daarmee: de OTP is strikt voor MFA (en niet voor decodering) en de RSA-sleutel is voor de daadwerkelijke decodering van de Keepass-kluis?
  • @hikingnola omdat OTPs veranderen, kunnen ze ' t worden gebruikt voor decodering direct. En er is geen ' t en kan ' geen manier zijn om een soort niet-veranderend geheim van hen te krijgen, anders zouden ze dat niet zijn eenmalig meer. Daarom moet de manier om OTPs in een decoderingssleutel te vertalen hacky en onveilig IMO zijn. RSA kan rechtstreeks ontsleutelen, dus het heeft geen hacky-oplossingen nodig. OTPs zijn bedoeld om te worden gebruikt met authenticatie naar de server, niet voor codering. Daarom zijn ze hier niet erg veilig.
  • Peter – nogmaals bedankt voor je tijd. Ik ' heb wat meer gelezen en begrijp (iets!) Meer. Ik begrijp waarom asymmetrische codering / decodering (RSA) geschikt is voor de wachtwoordkluisbestanden en niet voor OTP. Wat betreft de bovenstaande verklaring over een RSA-oplossing, correct geïmplementeerd, zou zeer robuust zijn. Een vervolgvraag komt in me op over het idee van een hardware ' token. ' Bieden sommige tokens gewoon OTPs? Terwijl andere (bijvoorbeeld oplossingen van het RSA-smartcardtype die altijd bestaan?) Privésleutels opslaan om precies die ontsleuteling van bestanden mogelijk te maken zoals we hier bespreken?
  • @hikingnola Sommige tokens bieden alleen OTPs. De eerste hiervan waren authenticatiecalculators die door banken werden gebruikt. Sommige tokens bevatten alleen RSA-sleutels om diefstal van de privésleutel te voorkomen. Tegenwoordig bieden veel tokens, zoals YubiKey, beide (en meer), omdat het toevoegen van OTP-ondersteuning relatief goedkoop is en ze zoveel mogelijk functies willen hebben.

Antwoord

Openbaarmaking: dit bericht beschrijft ons product , maar ik denk dat het een antwoord is op uw vraag.

Dashlane + Yubikey zou een oplossing voor u kunnen zijn.

Een andere mogelijkheid zou HushioKey en Hushio ID Lock-app zijn: Hushio ID Lock is een Android-app voor wachtwoordbeheer en kan via Bluetooth worden gekoppeld met HushioKey (aangesloten op een computer en simuleert een USB-toetsenbord en meer) om wachtwoordbinding te voorkomen.

BASELINE (niet-onderhandelbaar) VEREISTEN:

  1. AES256 versleuteld. Geen wolk.
  2. Inloggen met pincode en / of vingerafdruk.
  3. Kan naar keuze een back-up maken naar een oud Android-apparaat. Back-up en herstel kan alleen plaatsvinden op uw vooraf opgegeven locatie (AKA vertrouwde locatie, zoals uw huis).

FUNCTIEVEREISTEN (wil deze echt ook ECHT):

  1. Kan willekeurige wachtwoorden genereren voor nieuwe accounts

  2. Kan een wachtwoord naar uw computer sturen via een gecodeerde Bluetooth 4-verbinding. Tik gewoon lang op een accountpictogram. U hoeft niet te typen.

  3. Kan uw smartphone in een U2F-token veranderen. Bereik gewoon uw HushioKey met uw telefoon.

  4. Locatiebewuste beveiliging. Automatische zelfvergrendeling na detectie gedurende een bepaalde periode niet op de vertrouwde locatie. Ontgrendel door de vertrouwde locatie opnieuw in te voeren. Tijdelijke vertrouwde locatie beschikbaar voor reis / vakantie.

Sorry maar nog geen FIPS 140-2 Level 3 compliancetest.

Demo van HushioKey Laptop login: https://youtu.be/wzGs_17XUkM

Demo van HushioKey U2F-authenticatie: https://youtu.be/DGzU0OltgF4

https://www.hushio.com

Reacties

  • ging een vraag beantwoorden met informatie over je product, maak je connectie heel duidelijk, anders worden je posts gemarkeerd als spam en verwijderd.

Antwoord

Misschien wilt u ook eens kijken naar de mooltipass . Dit is een externe wachtwoordopslag, die wordt beschermd door smartcard en pincode. Het fungeert als een USB-toetsenbord en plakt, getriggerd op het hardwareapparaat, geloofsbrieven in uw applicatie.

Opmerkingen

  • Vraagt u zich af of dit voldoet aan de gebruiker ' s vereisten? Het lijkt een goed begin, maar het zou goed zijn om je antwoord uit te werken.
  • Het OP vraagt om een hardware-wachtwoordbeheerder. De OP spreekt ook van een USB-aangesloten apparaat. De mooltipass voldoet aan deze eisen. Het is verbonden via USB. Versleuteld. 2FA met pincode en smartcard op het apparaat. gecodeerde back-up … Maar het is misschien het beste om een kijkje te nemen op hun webpagina. Als je meer specifieke vragen hebt, schiet dan. Misschien kan ik antwoorden, maar ik ben slechts een gebruiker van een dergelijk apparaat, niet de projecteigenaar of -verkoper.

Antwoord

Snopf is een open-sourceoplossing die u op elke USB-stick kunt installeren. Het werkt kennelijk samen via een browserextensie.

Snopf is een zeer eenvoudige, maar effectieve en gebruiksvriendelijke USB-wachtwoordtool. Het Snopf USB-apparaat creëert een uniek en sterk wachtwoord voor elke service op basis van hetzelfde 256-bits geheim dat het token nooit verlaat.

Wanneer Snopf op de computer is aangesloten, kunt u een wachtwoordverzoek indienen en vervolgens de rode LED zal oplichten. Als u binnen 10 seconden op de knop drukt, imiteert Snopf een toetsenbord en typt u het wachtwoord voor de gevraagde service.

Antwoord

Een andere oplossing zou de nitrokey-opslag kunnen zijn.

  • Wordt geleverd met flash
  • volledige smartcard (- > Hardware-encryptie)
  • kan gecodeerde wachtwoorden op het apparaat opslaan

In tegenstelling tot de combinatie thumb drive, keepass en yubikey, heb je maar één apparaat op één usb-poort nodig.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *