Fechada. Esta pergunta está fora do tópico . Atualmente não está aceitando respostas.

Comentários

  • A conformidade FIPS 140-2 da fyi reduz a segurança. É a ' criptografia da década de 1990 e a criptografia ' melhores práticas ' daquela época são basicamente todo lixo mal orientado. O software popular tem um " modo FIPS " separado, cujo padrão é DESLIGADO por um motivo. Você não ' não quer FIPS 140-2, ou qualquer coisa feita por pessoas que pensam que ' é o padrão ouro. Para segurança real , procure materiais feitos por pessoas que participam do Real World Crypto e estão acompanhando de perto o trabalho do IRTF Crypto Forum Research Group (CFRG). Exemplo: Se eles usam RSA e não ' t planejam mudar para Curve25519 em breve, corra para longe. Argon2 é um bom sinal.
  • Uma vez que isso se tornou um depósito de lixo para produtos e há uma resposta aceita, eu ' estou fechando para evitar mais recomendações de produtos .

Resposta

Conforme você escreveu, 1-5 pode ser alcançado usando KeePass + pen drive.

Quanto ao ponto 6, parece que YubiKey já pensou nisso . Você pode usar YubiKey ou outro token HW com KeePass usando o plug-in OtpKeyProv . No entanto, não consegui encontrar uma explicação detalhada de como funciona e não me parece muito seguro. Tenho a sensação de que poderia ser facilmente contornado por um invasor mais avançado.

Existem plug-ins para KeePass que permitem o uso de chaves RSA, mas não estou convencido de que possam ser usados com um token HW. Verifique ( aqui , aqui e aqui )

A abordagem da chave RSA, se implementada corretamente, seria muito segura e protegeria contra o roubo do cofre de senha de um pen drive desbloqueado.

Para o ponto 7, basta escolher um bom drive USB, talvez aquele recomendado por Steven. Mas, honestamente, o pen drive nunca fornecerá um aumento significativo de segurança.

Nota final: KeePass pode ser usado no Android, mas eu não acredito que os plug-ins possam ser. Portanto, usar 2FA custaria de usá-lo no Android.

Comentários

  • Peter, obrigado por uma resposta atenciosa. Admito que estou fora do meu elemento com o aspecto técnico detalhes. Por exemplo, eu não ' não sei a diferença entre senhas de uso único (conforme usado pelo plug-in Keepass OtpKeyProv) e RSA. Aren ' t são efetivamente a mesma coisa? Qual é a diferença entre um token de hardware que gera uma senha de uso único (OTP) ou um que gera uma chave RSA? Ambos têm a finalidade de descriptografar o cofre de senha? Ou estou fora da base com isso: o OTP é estritamente para MFA (e não para descriptografia) e a chave RSA é para a descriptografia real do cofre do Keepass?
  • @hikingnola porque os OTPs mudam, eles podem ' t ser usado para descriptografia diretamente. E não existe ' e não pode ' haver uma maneira de obter deles algum tipo de segredo não alterado, caso contrário, não haveria mais uma vez. Portanto, a maneira de traduzir OTPs em uma chave de descriptografia deve ser IMO hacky e insegura. O RSA pode descriptografar diretamente, portanto, não precisa de soluções alternativas. OTPs devem ser usados com autenticação no servidor, não para criptografia. É por isso que eles não são muito seguros aqui.
  • Peter – mais uma vez, obrigado por seu tempo. Eu ' li um pouco mais e entendi (um pouco!) Mais. Eu entendo porque a criptografia / descriptografia assimétrica (RSA) é apropriada para o (s) arquivo (s) de cofre de senha, e não OTP. Com relação à declaração acima sobre uma solução RSA, implementada corretamente, seria muito robusta. Uma pergunta seguinte vem à mente sobre a ideia de um token ' de hardware. ' Alguns tokens simplesmente fornecem OTPs? Enquanto outros (por exemplo, soluções do tipo cartão inteligente RSA que existem desde sempre?) Armazenam chaves privadas para permitir a descriptografia de arquivos como estamos discutindo aqui?
  • @hikingnola Alguns tokens fornecem apenas OTPs. A primeira delas foram calculadoras de autenticação usadas pelos bancos. Alguns tokens contêm apenas chaves RSA, para evitar o roubo da chave privada. Muitos tokens hoje em dia, como o YubiKey, fornecem ambos (e mais), pois adicionar suporte OTP é relativamente barato e eles desejam ter o máximo de recursos possível.

Resposta

Divulgação: esta postagem descreve nosso produto , no entanto, acho que é uma resposta à sua pergunta.

Dashlane + Yubikey pode ser uma solução para você.

Outra possibilidade seria o aplicativo HushioKey e Hushio ID Lock: Hushio ID Lock é um aplicativo gerenciador de senhas Android e pode emparelhar o Bluetooth com o HushioKey (conectado a um computador e simula um teclado USB e mais) para evitar qualquer vinculação de senha. LINHA DE BASE (não negociável) REQUISITOS:

  1. criptografado em AES256. Sem nuvem.
  2. Login com PIN e / ou impressão digital.
  3. Pode fazer backup para um dispositivo Android antigo de acordo com sua escolha. O backup e a restauração só podem acontecer em seu local pré-especificado (também conhecido como local confiável, como sua casa).

REQUISITOS DE RECURSOS (realmente, REALMENTE quero estes também):

  1. Pode gerar senhas aleatórias para novas contas
  2. Pode enviar uma senha para seu computador via conexão Bluetooth 4 criptografada. Basta tocar longamente no ícone de uma conta. Sem digitação.

  3. Pode transformar seu smartphone em um token U2F. Basta acessar sua HushioKey com o telefone.

  4. Segurança com reconhecimento de local. Bloqueio automático após detectar que não está em um local confiável por um determinado período. Desbloqueie inserindo o local confiável novamente. Local temporário confiável disponível para viagem / férias.

Desculpe, mas ainda não há teste de conformidade FIPS 140-2 Nível 3.

Demonstração do login do laptop HushioKey: https://youtu.be/wzGs_17XUkM

Demonstração da autenticação HushioKey U2F: https://youtu.be/DGzU0OltgF4

https://www.hushio.com

Comentários

  • fui respondendo uma pergunta com informações sobre seu produto, deixe sua conexão bem clara, caso contrário, suas postagens serão sinalizadas como spam e removido.

Resposta

Você também pode dar uma olhada em mooltipass . Este é um armazenamento externo de senha, que é protegido por smartcard e PIN. Ele atua como um teclado USB e, acionado no dispositivo de hardware, cola credenciais em seu aplicativo.

Comentários

  • Quer saber se isso atende o usuário ' s requisitos? Parece um bom começo, mas seria bom elaborar sua resposta.
  • O OP está pedindo um gerenciador de senhas de hardware. O OP também fala de um dispositivo conectado por USB. O mooltipass preenche esses requisitos. Ele é conectado via USB. Criptografado. 2FA com PIN e smartcard no dispositivo. backup criptografado … Mas talvez seja melhor dar uma olhada em sua página da web. Se você tiver perguntas mais específicas, atire. Talvez eu possa responder, mas sou apenas um usuário desse dispositivo, não o proprietário ou fornecedor do projeto.

Resposta

Snopf é uma solução de código aberto que você pode instalar em qualquer chave USB. Aparentemente, ele interage por meio de uma extensão do navegador.

O Snopf é uma ferramenta de senha USB muito simples, mas eficaz e fácil de usar. O dispositivo USB Snopf cria uma senha única e forte para cada serviço a partir do mesmo segredo de 256 bits que nunca sai do token.

Sempre que o Snopf é conectado ao computador, você pode fazer uma solicitação de senha e, em seguida, o LED vermelho vai acender. Se você pressionar o botão em 10 segundos, o Snopf irá imitar um teclado e digitar a senha do serviço solicitado.

Resposta

Outra solução poderia ser o armazenamento nitrokey .

  • Vem com flash
  • smartcard completo (- > Criptografia de hardware)
  • pode armazenar senhas criptografadas no dispositivo

Em contraste com a combinação de pen drive, keepass e yubikey, você só precisa de um dispositivo em uma porta USB.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *