<åt sidan class = "s-notice s-notice__info js-post-notice mb16" role = "status">

Stängd. Denna fråga är utanför ämnet . För närvarande accepteras inte svar.

Kommentarer

  • fyi FIPS 140-2 efterlevnad minskar säkerheten. Det ' s kryptografi från 1990-talet och krypto ' bästa metoder ' från den tiden är i princip allt missriktat skräp. Populär programvara har ett separat " FIPS-läge " som standard är OFF av en anledning. Du vill inte ' t FIPS 140-2 eller något som görs av människor som tycker att det ' är guldstandarden. För faktisk säkerhet, leta efter saker gjorda av människor som deltar i Real World Crypto och följer noggrant arbetet i IRTF Crypto Forum Research Group (CFRG). Exempel: Om de använder RSA och inte ' t planerar att flytta till Curve25519 när som helst, spring långt bort. Argon2 är ett bra tecken.
  • Eftersom detta har blivit en dumpningsplats för produkter och det finns ett accepterat svar stänger jag ' för att förhindra fler produktrekommendationer .

Svar

Som du skrev kan 1-5 uppnås med KeePass + thumb drive.

När det gäller punkt 6 verkar det YubiKey tänkte redan på det . Du kan använda YubiKey eller annan HW-token med KeePass med plugin-programmet OtpKeyProv . Jag kunde dock inte hitta en detaljerad förklaring av hur det fungerar och det verkar inte vara så säkert. Jag har en känsla av att det skulle kunna kringgås ganska enkelt av en mer avancerad angripare.

Det finns plugins för KeePass som tillåter användning av RSA-nycklar, men jag är inte övertygad om att de kan användas med en HW-token. Kontrollera ( här , här och här )

RSA-nyckelns tillvägagångssätt om det implementeras korrekt skulle vara mycket säkert och skydda mot stöld av lösenordsvalvet från olåst tummeenhet.

För punkt 7, välj bara en bra USB-enhet, kanske den som Steven rekommenderar. Men ärligt talat kommer tummenheten aldrig att ge en betydande ökning av säkerheten.

Slutlig anmärkning: KeePass kan användas på Android, men jag tror inte att plugins kan vara. Så att använda 2FA skulle kosta att använda den på Android.

Kommentarer

  • Peter, tack för ett tankeväckande svar. Jag erkänner att jag inte är med på det tekniska detaljer. Till exempel vet jag inte ' skillnaden mellan engångslösenord (som används av Keepass OtpKeyProv-plugin) och RSA. Aren ' t de faktiskt samma sak? Vad är skillnaden mellan en hårdvarutoken som genererar ett engångslösenord (OTP) eller en som genererar en RSA-nyckel? Båda tjänar syftet att dekryptera lösenordsvalvet? Eller är jag offbase med det: OTP är strikt för MFA (och inte dekryptering) och RSA-nyckeln är för den faktiska dekrypteringen av Keepass-valvet?
  • @hikingnola eftersom OTP ändras kan de ' kan inte användas för dekryptering direkt. Och det finns inte ' t och kan ' inte vara ett sätt att få någon form av att inte ändra hemlighet från dem, annars skulle de inte vara engång längre. Därför måste sättet att översätta OTP: er till en dekrypteringsnyckel vara hackig och osäker IMO. RSA kan dekryptera direkt, så det behöver inte hackiga lösningar. OTP: er är avsedda att användas med autentisering till servern, inte för kryptering. Därför är de inte särskilt säkra här.
  • Peter – igen tack för din tid. Jag ' har gjort lite mer läsning och förstår (lite!) Mer. Jag förstår varför asymmetrisk kryptering / avkryptering (RSA) är lämplig för lösenordsvalvfil (erna) och inte för OTP. När det gäller ovanstående uttalande om en RSA-lösning, implementerad korrekt, skulle det vara mycket robust. En uppföljningsfråga kommer att tänka på med tanken på en hårdvaru ' -token. ' Ger vissa tokens helt enkelt OTP? Medan andra (t.ex. RSA-smartkortslösningar som har funnits för alltid?) Lagrar privata nycklar för att möjliggöra en sådan dekryptering av filer som vi diskuterar här?
  • @hikingnola Vissa tokens ger bara OTP: er. Den första av dessa var autentiseringsräknare som används av banker. Vissa tokens har bara RSA-nycklar för att förhindra stöld av den privata nyckeln. Många tokens idag, som YubiKey, ger både (och mer), eftersom det är relativt billigt att lägga till OTP-stöd och de vill ha så många funktioner som möjligt.

Svar

Utlämnande: detta inlägg beskriver vår produkt Men jag tror att det är ett svar på din fråga.

Dashlane + Yubikey kan vara en lösning för dig.

En annan möjlighet skulle vara HushioKey och Hushio ID Lock-appen: Hushio ID Lock är en app för Android-lösenordshanterare och den kan Bluetooth-paras med HushioKey (ansluten till en dator och simulerar ett USB-tangentbord och mer) för att undvika lösenordsbindning.

BASELINE (ej förhandlingsbara) KRAV:

  1. AES256 krypterad. Inget moln.
  2. PIN- och / eller fingeravtrycksinloggning.
  3. Kan säkerhetskopiera till en gammal Android-enhet efter eget val. Säkerhetskopiering och återställning kan bara ske på din förutbestämda plats (AKA-betrodda plats, som ditt hem).

FUNKTIONSKRAV (vill verkligen verkligen ha dessa också):

  1. Kan generera slumpmässiga lösenord för nya konton

  2. Kan skicka ett lösenord till din dator via krypterad Bluetooth 4-anslutning. Tryck bara länge på en kontoikon. Ingen typ.

  3. Kan göra din smartphone till en U2F-token. Nå bara din HushioKey med din telefon.

  4. Platsmedveten säkerhet. Autolås automatiskt efter att ha upptäckt att det inte finns på den betrodda platsen under en viss tidsperiod. Lås upp genom att ange betrodd plats igen. Tillfällig tillförlitlig plats tillgänglig för resa / semester.

Tyvärr, men inget FIPS 140-2 nivå 3-överensstämmelsestest än.

Demo för inloggning från HushioKey Laptop: https://youtu.be/wzGs_17XUkM

Demo för HushioKey U2F-autentisering: https://youtu.be/DGzU0OltgF4

https://www.hushio.com

Kommentarer

  • besvarade en fråga med information om din produkt, gör din anslutning väldigt tydlig, annars kommer dina inlägg att flaggas som skräppost och tagits bort.

Svar

Du kanske också vill titta på mooltipass . Detta är ett externt lösenordslagring som skyddas av smartkort och PIN-kod. Det fungerar som ett USB-tangentbord och klistras in i din applikation, utlöst på hårdvaruenheten.

Kommentarer

  • Undrar om detta möter användaren ' s krav? Ser ut som en bra start, men det skulle vara bra att utarbeta ditt svar.
  • OP ber om en lösenordshanterare för hårdvara. OP talar också om en USB-ansluten enhet. Mooltipass uppfyller dessa krav. Den ansluts via USB. Krypterad. 2FA med PIN och smartkort på enheten. krypterad säkerhetskopia … Men det kan vara bäst att titta på deras webbsida. Om du har mer specifika frågor, skjut. Kanske kan jag svara, men jag är bara en användare av en sådan enhet, inte projektägaren eller säljaren.

Svar

Snopf är en öppen källkodslösning som du kan installera på valfri USB-nyckel. Det interagerar uppenbarligen via ett webbläsartillägg.

Snopf är ett mycket enkelt, men ändå effektivt och lättanvänt USB-lösenordsverktyg. Snopf USB-enhet skapar ett unikt och starkt lösenord för varje tjänst från samma 256-bitars hemlighet som aldrig lämnar token.

När Snopf ansluts till datorn kan du göra en begäran om lösenord och sedan den röda lysdioden tänds. Om du trycker på knappen inom tio sekunder imiterar Snopf ett tangentbord och skriver lösenordet för den begärda tjänsten.

Svar

En annan lösning kan vara nitrokey-lagring .

  • Levereras med blixt
  • fullblåst smartkort (- > Hårdvarukryptering)
  • kan lagra krypterade lösenord på enheten

Till skillnad från kombinationen tummenhet, keepass och yubikey behöver du bara en enhet på en USB-port.

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *