La gente,
Sto cercando di migliorare la gestione delle password e ho in mente una soluzione per una soluzione. Tuttavia, sto riscontrando un problema nel mettere tutto insieme o nel trovare un prodotto (i) adatto.
Per prima cosa vorrei sapere se la mia specifica / strategia complessiva è praticabile?
Requisiti di base (non negoziabili):
- Un gestore di password con un database / deposito di password solo locale crittografato (AES-256 o superiore). Nessun archivio cloud: quindi servizi come LastPass ecc. non funzioneranno per me. (Gestore password nel senso che tutte le password dell'account sono accessibili da una singola password principale)
- Installabile / integrato su una chiavetta USB-3 crittografata con hardware, preferibilmente una di quelle con un tastierino numerico sul lato della pen drive che sblocca l'unità prima di inserirla in una porta USB. Il software di gestione password viene eseguito direttamente dalla pen drive (Windows minimo, ma Windows + Android preferito) senza alcuna installazione software richiesta sul sistema host.
- Possibilità di eseguire il backup del database delle password / vault (nel caso in cui la pen drive crittografata venga persa o rubata).
Requisiti per le caratteristiche (davvero, davvero vogliono anche queste):
- Può generare password casuali per i nuovi account
- Può compilare automaticamente i campi ID di accesso e password in una finestra del browser senza necessità di copia / incolla (e quindi evita le falle di sicurezza relative agli appunti di Windows).
Funzionalità di livello superiore (tutto quanto sopra potrebbe essere realizzato con KeePass + hardware / tastiera con codice crittografato, ma il sotto porterà la sicurezza generale al livello successivo - se questo è realizzabile e un prodotto (s) esiste ...?)
- Autenticazione multifattore (come U2F) del software di gestione password / vault stesso: l'unità USB crittografata funge da token hardware che consente al software / deposito di sbloccare (qualcosa sulla falsariga di un Yubikey). In questo modo se il file del vault della password viene copiato dalla pen drive (da tutta la rete, ad esempio sul posto di lavoro), e hanno afferrato la mia password del vault master (ad esempio un keylogger), il vault potrebbe ancora non essere sbloccato / non crittografato perché non avrebbero il token hardware fisico che serve come secondo fattore di autenticazione / decrittografia.
- E per davvero garantire una soluzione robusta, l'unità USB aderire alle specifiche militari per le unità crittografate (conformità FIPS 140-2 Livello 3, inclusi i test di un laboratorio indipendente)
Il mio ultimo accordo era vicino: Ironkey (prima che la compagnia fosse acquistata da Kingston). Si trattava di un'unità crittografata conforme a FIPS (USB2) con software di gestione password proprietario integrato. Ma il gestore delle password è stato abbandonato dalla linea di prodotti, lasciando (fondamentalmente) solo una costosa chiavetta USB crittografata.
Qualunque consiglio su quanto sopra sarebbe molto apprezzato.