it-swarm.com.de

Macht das Hinzufügen einer Zwei-Faktor-Authentifizierung durch OTP KeePass wirklich sicherer?

KeePass ist eine Anwendung, die alle Ihre Passwörter für Sie in einer Datenbank speichert. Es ist in erster Linie durch ein Hauptkennwort und/oder eine Schlüsseldatei geschützt. Wenn die Datenbank ordnungsgemäß mit diesem Kennwort verschlüsselt ist, kann dies sehr sicher sein.

Es gibt ein Plugin OtpKeyProv , das angeblich die Sicherheit erhöht, indem es einen zweiten Authentifizierungsfaktor hinzufügt. Nachdem Sie Ihre Datenbank mit diesem Plugin geschützt haben, müssen Sie Einmalkennwörter generieren und eingeben, um Ihre Datenbank zu öffnen.

Meine Frage: Erhöht dies wirklich die Sicherheit? Ich sehe keine Möglichkeit, wie der OTP-Mechanismus verwendet werden kann, um die Datenbank weiter zu verschlüsseln. Kann ein Hacker, der an die Datenbank gelangt, nicht einfach eine Version von KeePass kompilieren (es ist Open Source), die nicht nach dem OTP-Wert fragt?

Soweit ich sehen kann, nervt Sie das Plugin nur, wenn Sie auf die Anwendung zugreifen möchten, was zu einem falschen Gefühl zusätzlicher Sicherheit führt.

Oder übersehe ich etwas.

21
Jeff

Nein. Die Sicherheit bleibt gleich + zusätzlicher kognitiver Aufwand.

Vermutlich verwendet das Plugin OATH HOTP , wobei die KeePass-Datei oder der Hauptschlüssel nach jedem Zugriff mit dem nächsten Einmalkennwort erneut verschlüsselt wird.

Um jedoch das nächste Kennwort auf dem Gerät zu generieren, benötigt das Plugin entweder ein auf dem Gerät gespeichertes Geheimnis oder das normale Kennwort für die KeePass-Datei.

Die Sicherheit eines Einmalkennworts kommt von zwei Parteien, die denselben Schlüssel und Zähler kennen - HOTP(Key,Counter) -, während ein Angreifer den Schlüssel nicht kennt. Wenn der Angreifer Zugriff auf das Gerät hat, auf dem die KeePass-Installation und -Dateien gespeichert sind, wird die Sicherheit auf die Sicherheit des normalen Kennworts zurückgesetzt. Wenn die KeePass-Datei noch mit anderen KeePass-Programmen kompatibel ist, erhalten Sie nichts, wenn Sie auf diese Weise ein Einmalkennwort verwenden.

Einmalkennwörter eignen sich gut für die Serverauthentifizierung, da sowohl Client- als auch Serverendpunkte als sicher gelten und der Angreifer ' etwas, das Sie besitzen' sowie ' etwas, das Sie kennen '. Wenn der Angreifer Ihren Computer hat, hat er jetzt ' das, was Sie besitzen'.

15
LateralFractal

Nach dem Lesen der Quelle sieht es so aus, als ob das Geheimnis auf dem Yubikey gespeichert und mehrfach verschlüsselt mit verschiedenen Schlüsseln in der Datei otp.xml gespeichert ist. Die Verschlüsselungsschlüssel werden von den nächsten n OTPs (abgeleitet vom Geheimnis) abgeleitet, beginnend mit OTP i..i + m, wobei i der aktuelle Zähler und m der Vorausschauwert ist. Wenn der Benutzer seine OTP-Werte eingibt, erstellt das Plugin aus diesen Werten einen Schlüssel und versucht, eine der verschlüsselten Kopien des Geheimnisses mit diesem Schlüssel zu entschlüsseln. Bei Erfolg wird das Geheimnis verwendet, um die nächsten n + m OTPs abzuleiten und die m Schlüssel zu generieren, die zum Verschlüsseln des Geheimnisses für das nächste Mal verwendet werden, bevor die Datenbank entsperrt wird. Dies bedeutet, dass der Schutz nicht umgangen werden kann, ohne eine Kopie des Geheimnisses zu haben, die nicht im Klartext neben der Datenbank gespeichert ist.

Obwohl anscheinend sicher, mag ich dieses Plugin nicht, da die Zähler möglicherweise nicht mehr synchron sind. Stellen Sie sicher, dass Sie eine Kopie des Geheimnisses an einem sicheren Ort haben.

11
mdonoughe

KeePass verfügt über einen Hauptschlüssel, der normalerweise mit Ihrem Passwort verschlüsselt wird. Wenn dieser Schlüssel mit etwas verschlüsselt ist, das vom OTP und Ihrem Kennwort generiert wurde, wären beide Mechanismen erforderlich, um den Hauptschlüssel zu entschlüsseln, der den Datenspeicher verschlüsselt. Ich bin mir jedoch nicht sicher, wie sie möglicherweise ein sicheres OTP-Setup implementiert haben, da ein OTP normalerweise eher eine Authentifizierungsmethode als eine Schlüsselspeicherung ist (dh ich weiß nicht, wie das OTP den Schlüssel entsperren würde). .

Es wird auch vermutet, dass sie die Wiedergabe effektiv verhindern könnten, da die Datenbank in den meisten Angriffsszenarien von einem Angreifer gesteuert wird, nur nicht unbedingt so, wie Sie es erwartet haben. Sie haben vielleicht einen Weg, um dieses Problem zu umgehen, aber ich kann mir keinen vorstellen.

2
AJ Henderson