Gestore password basato su hardware

2

La gente,

Sto cercando di migliorare la gestione delle password e ho in mente una soluzione per una soluzione. Tuttavia, sto riscontrando un problema nel mettere tutto insieme o nel trovare un prodotto (i) adatto.

Per prima cosa vorrei sapere se la mia specifica / strategia complessiva è praticabile?

Requisiti di base (non negoziabili):

  1. Un gestore di password con un database / deposito di password solo locale crittografato (AES-256 o superiore). Nessun archivio cloud: quindi servizi come LastPass ecc. non funzioneranno per me. (Gestore password nel senso che tutte le password dell'account sono accessibili da una singola password principale)
  2. Installabile / integrato su una chiavetta USB-3 crittografata con hardware, preferibilmente una di quelle con un tastierino numerico sul lato della pen drive che sblocca l'unità prima di inserirla in una porta USB. Il software di gestione password viene eseguito direttamente dalla pen drive (Windows minimo, ma Windows + Android preferito) senza alcuna installazione software richiesta sul sistema host.
  3. Possibilità di eseguire il backup del database delle password / vault (nel caso in cui la pen drive crittografata venga persa o rubata).

Requisiti per le caratteristiche (davvero, davvero vogliono anche queste):

  1. Può generare password casuali per i nuovi account
  2. Può compilare automaticamente i campi ID di accesso e password in una finestra del browser senza necessità di copia / incolla (e quindi evita le falle di sicurezza relative agli appunti di Windows).

Funzionalità di livello superiore (tutto quanto sopra potrebbe essere realizzato con KeePass + hardware / tastiera con codice crittografato, ma il sotto porterà la sicurezza generale al livello successivo - se questo è realizzabile e un prodotto (s) esiste ...?)

  1. Autenticazione multifattore (come U2F) del software di gestione password / vault stesso: l'unità USB crittografata funge da token hardware che consente al software / deposito di sbloccare (qualcosa sulla falsariga di un Yubikey). In questo modo se il file del vault della password viene copiato dalla pen drive (da tutta la rete, ad esempio sul posto di lavoro), e hanno afferrato la mia password del vault master (ad esempio un keylogger), il vault potrebbe ancora non essere sbloccato / non crittografato perché non avrebbero il token hardware fisico che serve come secondo fattore di autenticazione / decrittografia.
  2. E per davvero garantire una soluzione robusta, l'unità USB aderire alle specifiche militari per le unità crittografate (conformità FIPS 140-2 Livello 3, inclusi i test di un laboratorio indipendente)

Il mio ultimo accordo era vicino: Ironkey (prima che la compagnia fosse acquistata da Kingston). Si trattava di un'unità crittografata conforme a FIPS (USB2) con software di gestione password proprietario integrato. Ma il gestore delle password è stato abbandonato dalla linea di prodotti, lasciando (fondamentalmente) solo una costosa chiavetta USB crittografata.

Qualunque consiglio su quanto sopra sarebbe molto apprezzato.

    
posta hikingnola 28.04.2018 - 15:36
fonte

4 risposte

3

Come hai scritto, è possibile utilizzare 1-5 utilizzando KeePass + pen drive.

Per quanto riguarda il punto 6, sembra che YubiKey ci abbia già pensato . Puoi utilizzare YubiKey o un altro token HW con KeePass utilizzando il plug-in OtpKeyProv . Tuttavia, non sono riuscito a trovare una spiegazione dettagliata di come funziona e non mi sembra molto sicuro. Ho la sensazione che potrebbe essere aggirato piuttosto facilmente da un aggressore più avanzato.

Esistono plugin per KeePass che consentono l'uso di chiavi RSA, ma non sono convinto che siano utilizzabili con un token HW. Verifica ( qui , qui e qui )

L'approccio chiave RSA, se implementato correttamente, sarebbe molto sicuro e proteggerebbe dal furto del vault della password dalla chiavetta sbloccata.

Per il punto 7, scegli una buona unità USB, forse quella raccomandata da Steven. Ma onestamente, la pen drive non fornirà mai un significativo aumento della sicurezza.

Nota finale: KeePass può essere utilizzato su Android, ma non credo che i plug-in possano essere. Quindi usare 2FA sarebbe un costo per usarlo su Android.

    
risposta data 29.04.2018 - 02:08
fonte
1

Divulgazione: questo post descrive il nostro prodotto, tuttavia penso che sia una risposta alla tua domanda.

Dashlane + Yubikey potrebbe essere una soluzione per te.

Un'altra possibilità potrebbe essere l'app HushioKey e Hushio ID Lock: Hushio ID Lock è l'app di gestione password di Android e può abbinarsi a Bluetooth con HushioKey (collegato a un computer e simula una tastiera USB e altro) per evitare l'uso di password.

REQUISITI DI BASE (non negoziabili):

  1. AES256 crittografato. Nessuna nuvola
  2. PIN e / o accesso tramite impronta digitale.
  3. Può eseguire il backup su un dispositivo Android precedente a tua scelta. Il backup e il ripristino possono avvenire solo nella tua posizione pre-specificata (A.K.Una posizione attendibile, come la tua casa).

REQUISITI DI CARATTERE (davvero, VERAMENTE voglio anche questi):

  1. Può generare password casuali per i nuovi account
  2. È possibile inviare una password al computer tramite la connessione Bluetooth 4 crittografata. Basta toccare l'icona di un account. Nessuna digitazione.

  3. Può trasformare il tuo smartphone in un token U2F. Raggiungi la tua HushioKey con il tuo telefono.

  4. Sicurezza basata sulla localizzazione. Auto-lock automatico dopo aver rilevato non nella posizione attendibile per un certo periodo di tempo. Sbloccare inserendo nuovamente la posizione di fiducia. Posizione attendibile temporanea disponibile per viaggio / vacanza.

Spiacenti ma non ancora il test di conformità FIPS 140-2 livello 3

Demo di accesso laptop HushioKey: link

Demo dell'autenticazione U2F HushioKey: link

link

    
risposta data 20.06.2018 - 01:16
fonte
0

Potresti anche dare un'occhiata al mooltipass . Questa è una memoria di password esterna, che è protetta da smartcard e PIN. Funziona come una tastiera USB e, attivato sul dispositivo hardware, incolla le credenziali nell'applicazione.

    
risposta data 10.06.2018 - 09:19
fonte
0

Non voglio approfondire questo argomento. Ma semplicemente un'altra soluzione potrebbe essere la archiviazione nitrokey .

Solo alcuni punti brevi:

  • Viene fornito con il flash
  • smartcard completa (- > crittografia hardware)
  • può memorizzare password crittografate sul dispositivo

Al contrario della combinazione di pen drive, keepass e yubikey, hai bisogno di un solo dispositivo su una porta USB.

    
risposta data 16.06.2018 - 09:40
fonte

Leggi altre domande sui tag