web-dev-qa-db-ja.com

ハードウェアベースのパスワードマネージャー

フォーク、

私は自分のパスワード管理を改善しようとしていますが、解決策についてのビジョンがあります。ただし、すべてをまとめたり、適合する製品を見つけるのに問題があります。

最初に、全体的な仕様/戦略が機能しているかどうかを確認したいのですが?

ベースライン(交渉不可)要件:

  1. 暗号化された(AES-256以上)ローカルのみのパスワードデータベース/ボールトを備えたパスワードマネージャー。 クラウドストレージなし:なので、LastPassなどのサービスは機能しません。 (すべてのアカウントパスワードに単一のマスターパスワードからアクセスできるという意味でのパスワードマネージャー)
  2. ハードウェアで暗号化されたUSB-3サムドライブにインストール可能/統合。できれば、サムドライブの側面にあるテンキーがあり、USBポートに挿入する前にドライブのロックを解除するものの1つ。パスワードマネージャーソフトウェアは、サムドライブから直接実行されます(Windowsは最小ですが、Windows + Android推奨)。ホストシステムにソフトウェアをインストールする必要はありません)。
  3. パスワードデータベース/ボールトをバックアップする機能(暗号化されたサムドライブが紛失または盗難にあった場合)。

機能要件(本当に、本当にこれらも必要です):

  1. 新しいアカウントのランダムなパスワードを生成できます
  2. コピー/貼り付けを必要とせずにブラウザーウィンドウのログインIDおよびパスワードフィールドを自動入力できます(したがって、Windowsクリップボードに関連するセキュリティホールを回避できます)。

次のレベルの機能(KeePass +ハードウェア/キーパッドで暗号化された親指で上記のすべてを達成できる可能性がありますが、以下は、全体的なセキュリティを次のレベルにもたらします-これが達成可能な場合、製品存在する...?)

  1. パスワードマネージャーソフトウェア/ボールト自体の多要素認証(U2Fなど):暗号化されたUSBドライブ自体が、ソフトウェア/ボールトのロック解除を可能にするハードウェアトークンとして機能します(Yubikeyに沿った何か)。このようにして、パスワードボールトファイル自体がサムドライブから(ネットワーク経由で、たとえば職場で)コピーされた場合、およびマスターボールトのパスワード(キーロガーなど)を取得しても、ボールトは引き続き2番目の認証/復号化要素として機能する物理ハードウェアトークンがないため、ロック解除/暗号化解除されません。
  2. そして本当に堅牢なソリューションを保証するために、USBドライブは暗号化ドライブの軍事仕様に準拠します(独立したラボによるテストを含むFIPS 140-2レベル3準拠)

私の最後の取り決めは近かった:アイアンキー(会社がキングストンに買収される前)。これは、FIPS暗号化(USB2)準拠の暗号化ドライブ(オンボードの専用パスワードマネージャーソフトウェアを搭載)でした。ただし、パスワードマネージャーは製品ラインから削除され、(基本的に)高価なハードウェア暗号化サムドライブのみとなっています。 。

上記についてのアドバイスは非常にありがたいです。

3
hikingnola

あなたが書いたように、1-5はKeePass +サムドライブを使用して達成できます。

ポイント6に関しては、それは YubiKeyはすでにそれを考えていたようですOtpKeyProv プラグインを使用して、KeepPassでYubiKeyまたはその他のHWトークンを使用できます。しかし、それがどのように機能するかについての詳細な説明は見つかりませんでした。非常に安全であるとは思えません。より高度な攻撃者によって簡単に回避される可能性があると感じています。

RSAキーの使用を許可するKeePassのプラグインはありますが、HWトークンで使用できるとは思いません。 ( herehere および ここ

RSAキーアプローチは、正しく実装されていれば非常に安全であり、ロック解除されたサムドライブからパスワード保管庫が盗まれるのを防ぎます。

ポイント7には、適切なUSBドライブを選択するだけで、おそらくStevenが推奨するドライブを選択します。しかし正直なところ、サムドライブではセキュリティが大幅に向上することはありません。

最後の注意:KeePassはAndroidで使用できますが、プラグインは使用できないと思います。したがって、2FAを使用すると、Androidで2FAを使用することになります。

3
Peter Harmann

開示:この投稿は当社の製品について説明していますが、それはあなたの質問への回答だと思います。

Dashlane + Yubikeyはあなたのためのソリューションかもしれません。

別の可能性としては、HushioKeyとHushio ID Lockアプリがあります。HushioID LockはAndroidパスワードマネージャーアプリであり、HushioKeyとBluetoothでペアリングできます(コンピューターに接続し、USBキーボードをシミュレートします)。パスワードを結ぶこと。

ベースライン(交渉不可)要件:

  1. AES256暗号化。雲がありません。
  2. PINおよび/または指紋によるログイン。
  3. 古いAndroid=選択したデバイスごとにバックアップできます。バックアップと復元は、事前に指定した場所(自宅などの信頼できる場所)でのみ実行できます)。

機能要件(本当に、これらも本当に必要です):

  1. 新しいアカウントのランダムなパスワードを生成できます
  2. 暗号化されたBluetooth 4接続を介してコンピューターにパスワードを送信できます。アカウントアイコンを長押しするだけです。タイピングなし。

  3. スマートフォンをU2Fトークンに変えることができます。スマートフォンでHushioKeyにアクセスするだけです。

  4. 位置認識セキュリティ。信頼できる場所に一定期間いないことを検出した後の自動セルフロック。信頼できる場所をもう一度入力してロックを解除します。旅行/休暇に利用できる一時的に信頼できる場所。

FIPS 140-2レベル3コンプライアンステストはまだありません。

HushioKeyラップトップログインのデモ: https://youtu.be/wzGs_17XUkM

HushioKey U2F認証のデモ: https://youtu.be/DGzU0OltgF4

https://www.hushio.com

1
Hushio

mooltipass もご覧ください。これは外部パスワードストレージであり、スマートカードとPINによって保護されています。これはUSBキーボードとして機能し、ハードウェアデバイスでトリガーされて、アプリケーションにクレデンシャルを貼り付けます。

0
cornelinux

これについてはあまり詳しく説明したくありません。しかし、単に別の解決策は nitrokey storage です。

ちょうどいくつかの短い指摘:

  • フラッシュが付属
  • 本格的なスマートカード(->ハードウェア暗号化)
  • 暗号化されたパスワードをデバイスに保存できます

サムドライブ、キープアス、ユビキーの組み合わせとは対照的に、1つのUSBポートに必要なデバイスは1つだけです。

0
cornelinux