(Hardware) token voor two-factor authentication icm KeePass - Privacy en beveiliging

zaterdag 13 augustus 2011 14:07

Acties:

Topicstarter

Door KeePass te gebruiken kan je lange, complexe wachtwoorden gebruiken die je anders toch niet zou onthouden.
So far so good, maar doordat deze centraal opgeslagen worden heeft een aanvaller AL je security credentials wanneer onbevoegden de onversleutelde inhoud zouden kunnen inlezen.

KeePass heeft standaard al een mogelijkheid om Two-factor authentication toe te passen.
Hierdoor kan je slechts toegang tot je wachtwoorden krijgen als je zowel een master wachtwoord als een key file ingeeft.

Wat ik met dit topic net wil bereiken is het bespreken van hardwarematige tokens en / of andere oplossingen die dienst kunnen doen als key file, en enkele best practices.

Mijn aandacht gaat vooral uit naar hardwarematige tokens als smartcards en usbtokens die je makkelijk kan meenemen, maar verder ben ik wel benieuwd wat jullie hiervoor gebruiken.
Zelf dacht ik al aan bijvoorbeeld enkele usb sticks met daarop een rsa key, maar het lijkt me dat hier mooiere oplossingen voor bestaan.

Wat gebruiken jullie hier voor?

zaterdag 13 augustus 2011 23:56

Acties:

iChaos

It's Lupus.

Waarschijnlijk niet helemaal het idee wat jij bedoelt, maar ik gebruik hiervoor:

-Een Password Card, waarop al mijn wachtwoorden staan (niet met dezelfde logica, dus ieder teken wordt wel in EEN wachtwoord gebruikt).

-KeePass op mijn telefoon, die beveiligd is met een wachtwoord van 8 tekens (ook van de Password Card).

Wanneer ik ergens wil inloggen moet ik met 1 wachtwoord van de kaart mijn KeePass-bestand openen, waarna er geen enkel wachtwoord in staat. Het enige wat je er dan uit kunt halen is iets als 'dit symbool, en die kleur, en deze richting'. Dus zelfs als je mijn masterkey weet en mijn telefoon in handen hebt kom je nog geen steek verder. Resultaat is dus dat je nu 3 dingen nodig hebt om in mijn data te kunnen: mijn masterkey, die nergens genoteerd is o.i.d., mijn telefoon die de logica's bevat van de wachtwoorden, die opgeslagen zijn in een beveiligde keyfile, en tot slot mijn Password Card.

Het kan vast nog wel beter, maar als je zo onhandig bent om deze drie dingen kwijt te raken, dan ben je al hopeloos met je wachtwoorden en hoef je al die moeite uberhaupt niet te doen.

Mocht mijn Password Card kwijt zijn, dan is de enige mogelijkheid om met een bestand op mijn telefoon de Keepass op de computer uit te lezen, dus wederom: zolang ik niet mijn telefoon en mijn Password Card kwijt ben kan niemand wat doen, en zelfs als je die twee dingen hebt zul je alsnog mijn masterkey moeten hebben.

Ik gebruikte ook ooit een applicatie waarbij mijn telefoon zorgde voor het ontgrendelen van mijn computer. Het wachtwoord van mijn PC staat ook op die Password Card, en de logica daarvan is ook nergens genoteerd o.i.d. Mijn computer ontgrendelde zich dan gelijk wanneer ik met mijn telefoon in de buurt kwam. Ik ben echter even vergeten hoe die applicatie heette

Maargoed, als je de implementaties die ik noemde toepast denk ik niet dat je nog veel te vrezen hebt

zondag 14 augustus 2011 01:21

Acties:

Puch-Maxi

Ik vraag me af of je met KeePass ook tokens in kunt trekken zoals je dat bijvoorbeeld bij TrueCrypt kunt doen?
Een token is leuk maar als je hem verliest en men komt op een andere manier achter het wachtwoord dan wil je toch een token kunnen intrekken. Alhoewel, een KeePass database is ook snel gekopieerd en dan heeft het intrekken of wijzigen van wachtwoorden ook geen nut. Hoe los je dit op, de database mag eigenlijk niet kopieerbaar zijn. Of zie ik dat verkeerd?

My favorite programming language is solder.