Menedżer haseł sprzętowy [zamknięty]

Zamknięte. To pytanie jest nie na temat . Obecnie nie przyjmuje odpowiedzi.

Komentarze

fyi FIPS 140-2 zmniejsza bezpieczeństwo. Jest to ' z lat 90. XX wieku kryptografia i ' sprawdzone metody ' z tamtej epoki to w zasadzie wszystkie błędne śmieci. Popularne oprogramowanie ma oddzielny " tryb FIPS ", który z jakiegoś powodu domyślnie jest WYŁĄCZONY. Nie ' nie chcesz FIPS 140-2 ani czegokolwiek stworzonego przez ludzi, którzy uważają, że ' jest złotym standardem. Jeśli chodzi o rzeczywiste bezpieczeństwo, poszukaj materiałów stworzonych przez ludzi, którzy uczęszczają do Real World Crypto i uważnie śledzą prace IRTF Crypto Forum Research Group (CFRG). Przykład: jeśli używają RSA i nie ' nie planują w najbliższym czasie przejść na Curve25519, uciekaj daleko. Argon2 to dobry znak.
Ponieważ stało się to wysypiskiem dla produktów i istnieje akceptowana odpowiedź, zamykam ', aby zapobiec więcej rekomendacji produktów .

Odpowiedź

Jak już napisałeś, 1-5 można osiągnąć za pomocą KeePass + pendrive.

Co do punktu 6, wygląda na to, że YubiKey już o tym pomyślał . Możesz użyć YubiKey lub innego tokena sprzętowego z KeePass za pomocą wtyczki OtpKeyProv . Nie mogłem jednak znaleźć szczegółowego wyjaśnienia, jak to działa i nie wydaje mi się to tak bezpieczne. Wydaje mi się, że bardziej zaawansowany napastnik mógłby to łatwo ominąć.

Istnieją wtyczki do KeePass, które pozwalają na użycie kluczy RSA, ale nie jestem przekonany, że można ich używać z tokenem sprzętowym. Sprawdź ( tutaj , tutaj i tutaj )

Podejście z kluczem RSA, jeśli zostanie poprawnie wdrożone, byłoby bardzo bezpieczne i chroniłoby przed kradzieżą magazynu haseł z odblokowanego pendrivea.

W punkcie 7, po prostu wybierz dobry dysk USB, może ten polecany przez Stevena. Ale szczerze mówiąc, pendrive nigdy nie zapewni znaczącego wzrostu bezpieczeństwa.

Ostatnia uwaga: KeePass może być używany na Androidzie, ale nie sądzę, aby wtyczki takie były. Więc używanie 2FA byłoby kosztem używania go na Androidzie.

Komentarze

Piotrze, dziękuję za przemyślaną odpowiedź. Przyznaję, że nie jestem w stanie szczegóły. Na przykład nie ' nie znam różnicy między hasłami jednorazowymi (używanymi przez wtyczkę Keepass OtpKeyProv) a RSA. Aren ' t faktycznie to samo? Jaka jest różnica między tokenem sprzętowym, który generuje hasło jednorazowe (OTP), a takim, który generuje klucz RSA? Oba służą do odszyfrowania magazynu haseł? A może jestem poza bazą z tym: OTP służy wyłącznie do MFA (a nie deszyfrowania), a klucz RSA służy do faktycznego odszyfrowania skarbca Keepass?
@hikingnola, ponieważ OTPs się zmieniają, mogą ' t być używany do bezpośredniego deszyfrowania. I nie ma ' t i nie może ' być sposobem na uzyskanie od nich jakiegoś niezmiennego sekretu, w przeciwnym razie nie już raz. Dlatego sposób tłumaczenia haseł jednorazowych na klucz deszyfrujący musi być zhackowany i niezabezpieczony IMO. RSA może odszyfrować bezpośrednio, więc nie wymaga hackerskich obejść. Hasła jednorazowe mają być używane do uwierzytelniania na serwerze, a nie do szyfrowania. Dlatego nie są tutaj zbyt bezpieczne.
Peter – jeszcze raz dziękuję za poświęcony czas. ' przeczytałem trochę więcej i rozumiem (trochę!) Więcej. Rozumiem, dlaczego asymetryczne szyfrowanie / deszyfrowanie (RSA) jest odpowiednie dla plików magazynu haseł, a nie OTP. W odniesieniu do powyższego stwierdzenia o rozwiązaniu RSA, wdrożonym poprawnie, byłoby bardzo solidne. Nasuwa się kolejne pytanie dotyczące idei ' tokenu sprzętowego. ' Czy niektóre tokeny po prostu zapewniają hasła jednorazowe? Podczas gdy inne (np. Rozwiązania typu karty inteligentnej RSA, które istnieją od zawsze?) Przechowują klucze prywatne, aby umożliwić właśnie takie odszyfrowywanie plików, jak tutaj omawiamy?
@hikingnola Niektóre tokeny zapewniają tylko hasła jednorazowe. Pierwszym z nich były kalkulatory uwierzytelniające używane przez banki. Niektóre tokeny przechowują tylko klucze RSA, aby zapobiec kradzieży klucza prywatnego. Obecnie wiele tokenów, takich jak YubiKey, zapewnia jedno i drugie (i więcej), ponieważ dodanie obsługi OTP jest stosunkowo tanie i chcą mieć jak najwięcej funkcji.

Odpowiedź

Ujawnienie: ten post opisuje nasz produkt jednak myślę, że jest to odpowiedź na Twoje pytanie.

Dashlane + Yubikey może być dla Ciebie rozwiązaniem.

Inna możliwość to aplikacja HushioKey i Hushio ID Lock: Hushio ID Lock to aplikacja do zarządzania hasłami na Androida, która może sparować się przez Bluetooth z HushioKey (podłączonym do komputera i symuluje klawiaturę USB i nie tylko), aby uniknąć wiązania hasła.

WYMAGANIA PODSTAWOWE (niezbywalne):

szyfrowanie AES256. Żadnej chmury.
PIN i / lub login odciskiem palca.
Możliwość tworzenia kopii zapasowych na starym urządzeniu z Androidem według własnego uznania. Tworzenie kopii zapasowych i przywracanie może odbywać się tylko w określonej lokalizacji (zaufanej lokalizacji, takiej jak dom).

WYMAGANIA DOTYCZĄCE FUNKCJI (naprawdę, NAPRAWDĘ też tego chcę):

Może generować losowe hasła dla nowych kont
Może wysłać hasło do twojego komputera przez szyfrowane połączenie Bluetooth 4. Po prostu dotknij ikony konta. Bez wpisywania.
Może zmienić Twój smartfon w token U2F. Po prostu sięgnij do swojego HushioKey za pomocą telefonu.
Zabezpieczenia uwzględniające lokalizację. Automatyczne blokowanie po wykryciu braku w zaufanej lokalizacji przez określony czas. Odblokuj, wpisując ponownie zaufaną lokalizację. Tymczasowa zaufana lokalizacja dostępna na wyjazd / wakacje.

Przepraszamy, ale nie ma jeszcze testu zgodności ze standardem FIPS 140-2 na poziomie 3.

Demo logowania do laptopa HushioKey: https://youtu.be/wzGs_17XUkM

Demo uwierzytelniania HushioKey U2F: https://youtu.be/DGzU0OltgF4

https://www.hushio.com

Komentarze

odpowiedział na pytanie, podając informacje o Twoim produkcie, prosimy o bardzo jasne połączenie, w przeciwnym razie Twoje posty zostaną oflagowane jako spam i usunięte.

Odpowiedź

Warto również rzucić okiem na mooltipass . Jest to zewnętrzna pamięć haseł chroniona kartą elektroniczną i kodem PIN. Działa jak klawiatura USB i po uruchomieniu na urządzeniu wklej dane referencyjne do aplikacji.

Komentarze

Zastanawiasz się, czy to spełnia użytkownika ' s wymagania? Wygląda na dobry początek, ale dobrze byłoby rozwinąć twoją odpowiedź.
OP prosi o sprzętowego menedżera haseł. OP mówi również o podłączonym urządzeniu USB. Mooltipass spełnia te wymagania. Jest podłączony przez USB. Zaszyfrowane. 2FA z kodem PIN i kartą inteligentną na urządzeniu. zaszyfrowana kopia zapasowa … Najlepiej jednak przyjrzeć się ich stronie internetowej. Jeśli masz bardziej szczegółowe pytania, strzelaj. Może mogę odpowiedzieć, ale jestem tylko użytkownikiem takiego urządzenia, a nie właścicielem projektu ani dostawcą.

Odpowiedź

Snopf to rozwiązanie typu open source, które można zainstalować na dowolnym kluczu USB. Najwyraźniej współdziała poprzez rozszerzenie przeglądarki.

Snopf jest bardzo prostym, ale skutecznym i łatwym w użyciu narzędziem do obsługi hasła na USB. Urządzenie USB Snopf tworzy unikalne i silne hasło dla każdej usługi z tego samego 256-bitowego tajnego klucza, który nigdy nie opuszcza tokena.

Za każdym razem, gdy Snopf jest podłączony do komputera, możesz poprosić o hasło, a następnie czerwoną diodę LED zaświeci się. Jeśli naciśniesz przycisk w ciągu 10 sekund, Snopf naśladuje klawiaturę i wpisze hasło do żądanej usługi.

Odpowiedź

Innym rozwiązaniem może być pamięć nitrokey .

W zestawie z pamięcią flash
w pełni rozwinięta karta inteligentna (- > szyfrowanie sprzętowe)
może przechowywać zaszyfrowane hasła na urządzeniu

W przeciwieństwie do kombinacji pendrivea, keepass i yubikey, potrzebujesz tylko jednego urządzenia na jednym porcie USB.

Dodaj komentarz Anuluj pisanie odpowiedzi