基于硬件的密码管理器

Question

我正在努力改进我的密码管理，我有一个解决方案的设想。然而，我很难把所有的东西组合在一起，或者找到一个适合我的产品(S)。

首先，我想知道我的总体规格/策略是否可行？

基准(不可转让)要求：

1. 具有加密(AES-256或更高)本地密码数据库/保险库的密码管理器.没有云存储:所以像LastPass这样的服务对我来说是行不通的。(密码管理器的意思是，所有帐户密码都可以从一个主密码中访问)
2. 可安装/集成到硬件加密的USB-3拇指驱动器，最好是其中之一的数字键盘在旁边的拇指驱动器，打开驱动器前插入USB端口。密码管理器软件直接从拇指驱动器(Windows最小值，但Windows + Android首选)运行，不需要在主机系统上安装任何软件。
3. 备份密码数据库/保险库的能力(以防加密的拇指驱动器丢失或被盗)。

特性需求(非常、非常想要这些)：

1. 可以为新帐户生成随机密码。
2. 可以自动填充浏览器窗口中的登录ID和密码字段，而不需要复制/粘贴(因此避免了与Windows剪贴板相关的安全漏洞)。

下一级功能(以上所有功能都可能通过KeePass +硬件/键盘加密拇指完成，但下面的功能将把总体安全性提升到下一个级别--如果这是可以实现的，并且存在产品(S).？)

1. 密码管理软件/保险库本身的多因素身份验证(如U2F)：加密的USB驱动器本身充当硬件令牌，允许软件/保险库解锁(类似于Yubikey的内容)。这样，如果密码库文件本身是从拇指驱动器复制的(比如在网络上，比如在工作时)，并且他们抓取了我的主保险库密码(例如，一个键盘记录器)，那么密码库仍然不能被解锁/未加密，因为它们不会让物理硬件令牌充当第二个身份验证/解密因素。
2. 为了真正确保一个健壮的解决方案，USB驱动器将遵守军用加密驱动器规范(FIPS 140-2级3级兼容，包括。(由独立实验室进行测试)

我的最后一个安排是接近的:铁钥匙(在公司被金斯敦收购之前)。这是一个FIPS兼容加密(USB2)驱动器与星载专有密码管理软件。但是密码管理器已经从产品线上删除了，它(基本上)只是一个昂贵的硬件加密的拇指驱动器。

Answer 1

正如您所写的，使用KeePass +拇指驱动器可以实现1-5。

至于第6点，似乎是YubiKey已经想到了。您可以使用YubiKey或其他HW令牌与KeePass一起使用OtpKeyProv插件。然而，我找不到关于它是如何工作的详细解释，在我看来，它并不是很安全。我有一种感觉，它很容易被更高级的攻击者绕过。

KeePass有允许使用RSA密钥的插件，但我不相信它们可以用于HW令牌。检查(这里、这里和这里)

RSA密钥方法，如果实现正确，将是非常安全的，并将防止盗用密码金库从未锁定的拇指驱动器。

对于第7点，只要选择一个好的USB驱动器，也许是史蒂文推荐的。但老实说，拇指驱动器将永远不会提供显着增加的安全性。

最后一点: KeePass可以在安卓系统上使用，但我不认为这些插件可以。因此，使用2FA将以在Android上使用它为代价。

Answer 2

您可能还想看看穆尔提帕斯。这是一个外部密码存储，由智能卡和PIN保护。它充当USB键盘，并在硬件设备上触发，将克里丁粘贴到应用程序中。

Answer 3

另一个解决方案可能是硝基键存储。

• 随闪而来
• 完整的智能卡(->硬件加密)
• 可以在设备上存储加密密码。

与组合式拇指驱动器、keepass和yubikey不同的是，您只需要在一个usb端口上安装一个设备。