Administrador de contraseñas basado en hardware

2

Gente,

Estoy tratando de mejorar la administración de mi contraseña, y tengo una visión en mente para una solución. Sin embargo, estoy teniendo problemas para juntar todo o encontrar un producto que se ajuste.

Primero, me gustaría saber si mi especificación / estrategia general es viable.

Requisitos de línea de base (no negociables):

  1. Un administrador de contraseñas con una base de datos / bóveda de contraseña solo encriptada (AES-256 o superior). No hay almacenamiento en la nube: por lo que servicios como LastPass, etc., no van a funcionar para mí. (Administrador de contraseñas en el sentido de que todas las contraseñas de las cuentas son accesibles desde una única contraseña maestra)
  2. Se puede instalar / integrar en una unidad USB USB-3 cifrada por hardware, preferiblemente una de ellas con un teclado numérico en el lateral de la unidad Thumb que desbloquea la unidad antes de insertarla en un puerto USB. El software del administrador de contraseñas se ejecuta directamente desde la unidad de memoria (mínimo de Windows, pero se prefiere Windows + Android) sin necesidad de instalar ningún software en el sistema host.
  3. Capacidad para hacer una copia de seguridad de la base de datos / bóveda de contraseñas (en caso de que la unidad de almacenamiento encriptado se pierda o sea robada).

Requisitos de funciones (realmente, también los quiero):

  1. Puede generar contraseñas aleatorias para nuevas cuentas
  2. Puede autocompletar los campos de ID de inicio de sesión y contraseña en una ventana del navegador sin necesidad de copiar / pegar (y, por lo tanto, evita los agujeros de seguridad relacionados con el portapapeles de Windows).

Funciones de siguiente nivel (todo lo anterior podría lograrse con el hardware cifrado con teclado / teclado KeePass +, pero lo que sigue a continuación llevaría la seguridad general al siguiente nivel, si es posible y un producto (s) existe ...?)

  1. Autenticación multifactorial (como U2F) del software / bóveda del administrador de contraseñas: la propia unidad USB cifrada sirve como el token de hardware que permite desbloquear el software / bóveda (algo similar a un Yubikey). De esa manera, si el archivo de la bóveda de contraseñas se copia desde la unidad de almacenamiento en miniatura (desde toda la red, por ejemplo, en el trabajo), y , tomaron mi contraseña de bóveda maestra (por ejemplo, un registrador de teclas), la bóveda aún podría no se pueden desbloquear / descifrar porque no tendrían el token de hardware físico como el segundo factor de descifrado / autenticación.
  2. Y para realmente garantizar una solución robusta, la unidad USB se adheriría a la especificación militar para unidades cifradas (conformidad con el nivel 3 de FIPS 140-2, incluida la prueba realizada por un laboratorio independiente)

Mi último acuerdo fue cercano: el Ironkey (antes de que Kingston comprara la compañía). Era una unidad cifrada compatible con FIPS (USB2) con software de administrador de contraseñas propietario incorporado. Pero el administrador de contraseñas se ha eliminado de la línea de productos, dejándolo (básicamente) solo un costoso dispositivo de almacenamiento encriptado por hardware.

Cualquier consejo sobre lo anterior sería muy apreciado.

    
pregunta hikingnola 28.04.2018 - 15:36
fuente

4 respuestas

3

Como escribiste, 1-5 pueden lograrse usando la unidad de memoria KeePass +.

En cuanto al punto 6, parece YubiKey ya lo pensó . Puede usar YubiKey u otro token de HW con KeePass usando el complemento OtpKeyProv . Sin embargo, no pude encontrar una explicación detallada de cómo funciona y no me parece muy segura. Tengo la sensación de que un atacante más avanzado podría evitarlo con bastante facilidad.

Hay complementos para KeePass que permiten el uso de claves RSA, pero no estoy convencido de que se puedan usar con un token HW. Marque ( aquí , here y here )

El enfoque de la clave RSA si se implementa correctamente sería muy seguro y protegería contra el robo de la bóveda de contraseñas de la unidad de disco manual desbloqueada.

Para el punto 7, solo elige una buena unidad USB, tal vez la recomendada por Steven. Pero honestamente, la unidad de disco nunca proporcionará un aumento significativo en la seguridad.

Nota final: KeePass puede usarse en Android, pero no creo que los complementos puedan usarse. Entonces, usar 2FA sería a costa de usarlo en Android.

    
respondido por el Peter Harmann 29.04.2018 - 02:08
fuente
1

Divulgación: esta publicación describe nuestro producto, sin embargo, creo que es una respuesta a su pregunta.

Dashlane + Yubikey podría ser una solución para usted.

Otra posibilidad sería la aplicación HushioKey y Hushio ID Lock: Hushio ID Lock es la aplicación de administración de contraseñas de Android y puede sincronizarse mediante Bluetooth con HushioKey (enchufada a una computadora y simula un teclado USB y más) para evitar la vinculación de contraseñas.

REQUISITOS DE BASE (no negociables):

  1. AES256 encriptado. Ninguna nube
  2. inicio de sesión de PIN y / o huella digital.
  3. Puede hacer una copia de seguridad en un dispositivo Android antiguo según su elección. La copia de seguridad y la restauración solo pueden realizarse en su ubicación preespecificada (A.K.Una ubicación de confianza, como su casa).

REQUISITOS DE FUNCIÓN (realmente, REALMENTE también quiero estos):

  1. Puede generar contraseñas aleatorias para nuevas cuentas
  2. Puede enviar una contraseña a su computadora a través de una conexión cifrada de Bluetooth 4. Solo tiene que tocar un icono de cuenta. Sin escribir.

  3. Puede convertir su teléfono inteligente en un token U2F. Simplemente llega a tu HushioKey con tu teléfono.

  4. Seguridad consciente de la ubicación. Autobloqueo automático después de detectar no en la ubicación de confianza durante un cierto período de tiempo. Desbloquear ingresando de nuevo en la ubicación de confianza. Ubicación de confianza temporal disponible para viaje / vacaciones.

Lo siento, pero aún no hay una prueba de cumplimiento de nivel 3 de FIPS 140-2.

Demo de inicio de sesión de HushioKey Laptop: enlace

Demostración de la autenticación HushioKey U2F: enlace

enlace

    
respondido por el Hushio 20.06.2018 - 01:16
fuente
0

También puede consultar el mooltipass . Este es un almacenamiento de contraseña externo, que está protegido por tarjeta inteligente y PIN. Actúa como un teclado USB y, activado en el dispositivo de hardware, pega credenciales en su aplicación.

    
respondido por el cornelinux 10.06.2018 - 09:19
fuente
0

No quiero dar más detalles sobre esto. Pero simplemente otra solución podría ser el almacenamiento de nitrokey .

Sólo algunos pointes cortos:

  • viene con flash
  • tarjeta inteligente completa (- > cifrado de hardware)
  • puede almacenar contraseñas cifradas en el dispositivo

A diferencia de la combinación de unidad de disco, keepass y yubikey, solo necesitas un dispositivo en un puerto USB.

    
respondido por el cornelinux 16.06.2018 - 09:40
fuente

Lea otras preguntas en las etiquetas