Manager de parolă bazat pe hardware [închis]

Închis. Această întrebare este off-topic . În prezent, nu acceptă răspunsuri.

Comentarii

Conformitatea fyi FIPS 140-2 reduce securitatea. Este ' criptografia anilor 1990 și cripto ' cele mai bune practici ' din acea epocă sunt practic toate gunoiul greșit. Software-ul popular are un " mod FIPS " separat, care este implicit OFF pentru un motiv. Nu ' nu doriți FIPS 140-2 sau nimic creat de oameni care consideră că este ' standardul de aur. Pentru securitate actuală , căutați lucruri făcute de oameni care participă la Real World Crypto și care urmăresc îndeaproape activitatea Grupului de cercetare Forum IRTF Crypto Forum (CFRG). Exemplu: dacă utilizează RSA și nu ' planifică să se mute în curbă în curând25519 în curând, fugi departe. Argon2 este un semn bun.
Din moment ce acesta a devenit un teren de deversare pentru produse și există un răspuns acceptat, eu ' mă închid pentru a preveni mai multe recomandări de produse .

Răspuns

După cum ați scris, 1-5 poate fi realizat folosind KeePass + thumb drive.

În ceea ce privește punctul 6, se pare că YubiKey s-a gândit deja la asta . Puteți utiliza YubiKey sau alt simbol HW cu KeePass utilizând pluginul OtpKeyProv . Cu toate acestea, nu am putut găsi o explicație detaliată a modului în care funcționează și nu mi se pare foarte sigură. Am sentimentul că ar putea fi ocolit destul de ușor de un atacator mai avansat.

Există pluginuri pentru KeePass care permit utilizarea tastelor RSA, dar nu sunt convins că sunt utilizabile cu un simbol HW. Verificați ( aici , aici și aici )

Abordarea cheie RSA, dacă este implementată corect, ar fi foarte sigură și ar proteja împotriva furtului seifului de parole de la unitatea deblocată deblocată.

Pentru punctul 7, alegeți doar o unitate USB bună, poate cea recomandată de Steven. Dar sincer, unitatea de memorie nu va oferi niciodată o creștere semnificativă a securității.

Notă finală: KeePass poate fi utilizat pe Android, dar nu cred că pluginurile pot fi. Deci, utilizarea 2FA ar fi la cost de a-l folosi pe Android.

Comentarii

Peter, mulțumesc pentru un răspuns atent. Recunosc că sunt în afara elementului meu cu tehnica detalii. De exemplu, nu ' nu știu diferența dintre parolele unice (așa cum este utilizată de pluginul Keepass OtpKeyProv) și RSA. Aren ' nu sunt efectiv același lucru? Care este diferența dintre un token hardware care generează o parolă unică (OTP); sau unul care generează o cheie RSA? Ambele servesc scopului de decriptare a seifului de parole? Sau sunt offbase cu asta: OTP este strict pentru MFA (și nu decriptare), iar cheia RSA este pentru decriptarea efectivă a seifului Keepass?
@hikingnola deoarece OTP-urile se schimbă, pot ' nu poate fi utilizat direct pentru decriptare. Și nu există ' t și nu poate fi ' t o modalitate de a obține un fel de secret care nu se schimbă de la ei, altfel nu ar fi o singură dată. Prin urmare, modalitatea lor de a traduce OTP-urile într-o cheie de decriptare trebuie să fie incomodă și nesigură IMO. RSA poate decripta direct, deci nu are nevoie de soluții dificile. OTP-urile sunt destinate a fi utilizate cu autentificare pe server, nu pentru criptare. De aceea nu sunt foarte siguri aici.
Peter – din nou vă mulțumesc pentru timpul acordat. Am ' am citit ceva mai mult și înțeleg (ușor!) Mai mult. Înțeleg de ce criptarea / decriptarea asimetrică (RSA) este potrivită pentru fișierele de seif de parole și nu pentru OTP. În ceea ce privește afirmația de mai sus despre o soluție RSA, implementată corect, ar fi foarte robustă. Îmi vine în minte o întrebare ulterioară cu privire la ideea unui simbol ' hardware. ' Unele jetoane furnizează OTP-uri? În timp ce altele (de exemplu, soluții de tip carduri inteligente RSA care au existat pentru totdeauna?) Stochează chei private pentru a permite doar decriptarea fișierelor despre care discutăm aici?
@hikingnola Unele jetoane oferă doar OTP-uri. Primul dintre acestea a fost calculatoarele de autentificare utilizate de bănci. Unele jetoane dețin doar chei RSA, pentru a preveni furtul cheii private. Multe jetoane în zilele noastre, cum ar fi YubiKey oferă ambele (și multe altele), deoarece adăugarea suportului OTP este relativ ieftin și vor să aibă cât mai multe funcții posibil.

Răspuns

Divulgare: această postare descrie produsul nostru , totuși, cred că este un răspuns la întrebarea dvs.

Dashlane + Yubikey ar putea fi o soluție pentru dvs.

O altă posibilitate ar fi aplicația HushioKey și Hushio ID Lock: Hushio ID Lock este aplicația de gestionare a parolelor Android și poate asocia Bluetooth cu HushioKey (conectat la un computer și simulează o tastatură USB și multe altele) pentru a evita orice legare a parolei.

CERINȚE DE BAZĂ (non-negociabile):

AES256 criptat. Fără nor.
Conectare PIN și / sau amprentă digitală.
Poate face backup pe un dispozitiv Android vechi în funcție de alegerea dvs. Backupul și restaurarea pot avea loc numai în locația dvs. predeterminată (locație de încredere AKA, cum ar fi casa dvs.).

CERINȚE CARACTERISTICI (într-adevăr, chiar le doresc și pe acestea):

Poate genera parole randomizate pentru conturi noi
Poate trimite o parolă computerului dvs. prin conexiune criptată Bluetooth 4. Atingeți lung pictograma unui cont. Fără tastare.
Vă poate transforma smartphone-ul într-un simbol U2F. Accesați HushioKey cu telefonul.
Securitate în funcție de locație. Auto-blocare automată după detectarea nu în locația de încredere pentru o anumită perioadă de timp. Deblocați introducând din nou locația de încredere. Locație de încredere temporară disponibilă pentru călătorie / vacanță.

Ne pare rău, dar nu există încă test de conformitate FIPS 140-2 Nivelul 3.

Demo de conectare la laptopul HushioKey: https://youtu.be/wzGs_17XUkM

Demo de autentificare HushioKey U2F: https://youtu.be/DGzU0OltgF4

https://www.hushio.com

Comentarii

a răspuns la o întrebare cu informații despre produsul dvs., vă rugăm să clarificați conexiunea, altfel postările dvs. vor fi semnalate ca spam și eliminat.

Răspuns

S-ar putea să doriți și să aruncați o privire la mooltipass . Acesta este un spațiu de stocare extern, care este protejat de cardul inteligent și codul PIN. Acționează ca o tastatură USB și, declanșat pe dispozitivul hardware, lipeste date de acreditare în aplicația dvs.

Comentarii

Vă întrebați dacă acest lucru îndeplinește utilizatorul ' cerințele? Pare un început bun, dar ar fi bine să explicăm răspunsul dvs.
OP solicită un manager de parole hardware. OP vorbește și despre un dispozitiv conectat USB. Mooltipass îndeplinește aceste cerințe. Este conectat prin USB. Criptat. 2FA cu PIN și smartcard pe dispozitiv. backup criptat … Dar ar putea fi cel mai bine să aruncați o privire la pagina lor web. Dacă aveți întrebări mai specifice, trageți. Poate că pot răspunde, dar sunt doar un utilizator al unui astfel de dispozitiv, nu proprietarul sau vânzătorul proiectului.

Răspuns

Snopf este o soluție open-source pe care o puteți instala pe orice cheie USB. Se pare că interacționează printr-o extensie de browser.

Snopf este un instrument de parolă USB foarte simplu, dar eficient și ușor de utilizat. Dispozitivul USB Snopf creează o parolă unică și puternică pentru fiecare serviciu din același secret de 256 de biți care nu părăsește niciodată simbolul.

Ori de câte ori Snopf este conectat la computer puteți face o solicitare de parolă și apoi LED-ul roșu se va aprinde. Dacă apăsați butonul în decurs de 10 secunde Snopf va imita o tastatură și va introduce parola pentru serviciul solicitat.

Răspuns

O altă soluție ar putea fi stocare nitrokey .

Vine cu flash
smartcard completă (- > Criptare hardware)
poate stoca parole criptate pe dispozitiv

Spre deosebire de combinația thumb drive, keepass și yubikey, aveți nevoie doar de un dispozitiv pe un singur port USB.

Lasă un răspuns Anulează răspunsul