Meine Liste möglicher Ersatzlösungen für den Trezor Password Manager (EOL)

Home Foren Trezor Wallet Meine Liste möglicher Ersatzlösungen für den Trezor Password Manager (EOL)

Ansicht von 0 Antwort-Themen
  • Autor
    Beiträge
    • #4265
      admin
      Mitglied
      Up
      0
      Down
      ::

      Da Trezor-R in Entwicklung ist, erwarte ich keine [work on Password Manager](https://github.com/trezor/trezor-suite/issues/2740#issuecomment-841646999) in naher Zukunft. In der Zwischenzeit habe ich mich mit hardwarebasierten Alternativen zur Sicherung von Passwörtern befasst.

      ^(DISCLAIMER: Ich habe nicht alle diese Lösungen geprüft, also fassen Sie meine Bemerkungen nicht als Empfehlungen auf)

      ***

      ## Keepass2 mit Keepass2Trezor

      Dies ist ein Plugin für den beliebten Passwortmanager KeePass. Dieses Plugin registriert Ihren Trezor als Challenge/Response-Gerät für die Verwendung beim Öffnen und Entsperren Ihrer Keepass-Datenbank. Die Abfrage/Antwort verwendet die in Trezor eingebaute [CipherKeyValue](
      https://docs.trezor.io/trezor-suite/packages/connect/methods/cipherKeyValue.html) API.

      Keepass ist ein großartiger Passwort-Manager, der so ziemlich jede Funktion bietet, die man sich wünschen kann. Eine Sache, auf die man achten sollte, ist die Aufrechterhaltung von Abhängigkeiten von Trezor. Wenn Sie die Datenbank auf Ihr iPhone verschieben, das von Keepass unterstützt wird, können Sie die Datenbank nicht entsperren, da iOS keine Möglichkeit hat, mit Trezor zu kommunizieren. Aber wenn Sie ein wenig Python sprechen, können Sie das Geheimnis mit dem [trezorctl](
      https://docs.trezor.io/trezor-firmware/python/trezorlib.html#command-line-client-trezorctl) cli.

      * [Keepass2 Homepage](https://keepass.info/)
      * [Keepass2 Plugin Directory](https://keepass.info/plugins.html) wobei [Keepass2Trezor Plugin](https://keepass.info/plugins.html#kptrezor) lebt.

      ## KeepassXC mit Yubikey hmac-sha1

      Obwohl dies eine NEUE Hardware erfordert, bietet es dennoch hardwaregestützte Sicherheit für Ihre Passwörter. Nicht alle Yubikeys funktionieren, nur die, die [Yubikey’s HMAC-SHA1 API](https://support.yubico.com/hc/en-us/articles/360013779759-Using-Your-YubiKey-with-KeePass). Ich glaube, das billigste auf dieser Liste ist, zum Zeitpunkt dieses Beitrags, das [$50 Yubikey 5 NFC](https://www.yubico.com/product/yubikey-5-nfc/). Technisch gesehen können Sie Ihr Yubikey entweder mit KeepassXC oder Keepass2 (mit Plugin) verwenden, aber die Art und Weise, wie sie die Herausforderung kodieren, ist unterschiedlich. [you can’t use the same slot for both](https://keepassxc.org/docs/#faq-yubikey-incompatible). Ich habe nicht versucht, beide über einen Schlüssel laufen zu lassen, aber es scheint möglich zu sein, IDK.

      * [Keepass2 Homepage](https://keepass.info/)
      * [Keepass2 Plugin Directory](https://keepass.info/plugins.html) wobei [KeeChallenge Plugin](https://keepass.info/plugins.html#keechl) lebt.
      * [KeepassXC Homepage](https://keepassxc.org/) mit eingebauter YK-hmac-sha1 Unterstützung.

      ## GPG Passwort Manager mit Trezor

      Der standardmäßige Linux-Passwortmanager `pass` basiert auf GPG. Wenn Sie installieren [trezor_agent](https://trezor.io/learn/a/what-is-gpg) können Sie Ihre GPG-Schlüssel mit Ihrem Trezor sichern. Dies ermöglicht es Ihnen, Passwörter in `pass` zu speichern, das Trezor zum Entsperren der Einträge verwendet. Es gibt etwa ein Dutzend Passwortmanager, die `pass` (und gpg) als Backend verwenden. Für Linux- oder Mac-Benutzer ist dies ein bequemer Weg, ihre Passwörter mit Hardware zu sichern. Für Windows-Benutzer ermöglicht der WSL2-Dienst die Ausführung von `trezor_agent` und `pass` unter Windows. Ein Beispiel würde etwa so aussehen:

      wsl -d Ubuntu GNUPGHOME=~/.gnupg/trezor pass show brianddk@reddit

      Dies setzt voraus, dass Sie Trezor über `usbipd` an Ihre Ubuntu-Installation angeschlossen haben und dass Sie `trezor_agent` in Ubuntu bereits installiert und initialisiert haben.

      * [Pass homepage](https://www.passwordstore.org/)
      * [Pass wrappers / GUIs / skins](https://www.passwordstore.org/#extensions)
      * [Windows WSL2 Service](https://learn.microsoft.com/en-us/windows/wsl/install), die auf USB zugreifen können über [usbipd](https://learn.microsoft.com/en-us/windows/wsl/connect-usb)
      * [`trezor_agent` integration for GPG on Trezor](https://trezor.io/learn/a/what-is-gpg)

      ## Trezor native CipherKeyValue API

      Die Trezor-Firmware hat eine API namens [CipherKeyValue](https://docs.trezor.io/trezor-suite/packages/connect/methods/cipherKeyValue.html), die aus einem Klartext-Label einen (geheimen) Chiffretext erzeugen kann. Dies unterscheidet sich von einer einfachen Hash-Funktion, da der Chiffriertext nur mit den privaten Schlüsseln des Trezor erzeugt werden kann. So können Sie eine Zeichenkette wie „Site \ UserID“ eingeben und erhalten „P@55w0rd“ zurück. Für den Zugriff auf diese API über die Befehlszeile benötigen Sie die [trezorctl](
      https://trezor.io/learn/a/trezorctl-on-windows) installiert sein. Nach der Konfiguration können Sie ein -Passwort mit einem Befehl wie diesem erstellen:

      trezorctl crypto encrypt-keyvalue -n m/10016h/0 \
      „reddit.com \ brianddk“ „0123456789abcdef“
      79fbb9d92413506b8b3825a161c9a183

      Jetzt kann ich also `79fb…a183` als Passwort verwenden und muss es mir nicht mehr merken. Wann immer ich meinen Trezor mit denselben Argumenten für `encrypt-keyvalue` füttere, erhalte ich immer denselben Chiffriertext zurück. Diese Methode verwendet der ursprüngliche Trezor Password Manager und auch das Keepass2Trezor Plugin. Nachdem ich eine Weile damit herumgespielt hatte, wollte ich ein bisschen mehr Flexibilität, also habe ich eine [mk_secret.py](https://github.com/brianddk/reddit/blob/master/python/mk_secret.py) Skript erstellt, das den größten Teil der Arbeit für mich erledigt. Jetzt ist mein Befehl vereinfacht zu:

      mk_secret.py -k „reddit.com \ brianddk“ | clip

      Jetzt befindet sich mein Passwort in der Zwischenablage und ich kann es in das Feld für das Anmeldepasswort einfügen. Sie können auch mit der Befehlsumleitung darauf aufbauen und sie als [launcher for KeepassXC](https://github.com/brianddk/reddit/blob/master/markdown/mk_secret.md#password-manager-launcher). Offensichtlich habe ich Keepass2Trezor erst gefunden, nachdem ich mich eine Weile damit beschäftigt hatte.

      * [TrezorCTL install Howto](https://trezor.io/learn/a/trezorctl-on-windows)
      * [My `mk_secret` reddit thread](https://www.reddit.com/r/TREZOR/comments/1345rkr/would_you_use_or_toy_with_a_trezor_keepass/)

      ## Keepass2 mit GPG-Integration: ARBEIT IN ARBEIT

      Ähnlich wie bei anderen GPG-Passwortmanagern kann Keepass2 mit der [GpgKee](https://github.com/jleight/gpgkee) Plugin, wird GPG als Schlüsselquelle für die Entschlüsselung von Schlüsseldateien verwendet. Dies ist eine SEHR alte Erweiterung und scheint nicht mehr gepflegt zu werden, aber wenn jemand sie auf den neuesten Stand bringen will, ist sie Open Source und sieht ziemlich einfach aus. Da Keepass2 davon ausgeht, dass es die WinGPG-Installation verwendet, könnte es schwierig sein, es dazu zu bringen, `trezor_agent` unter WSL zu verwenden. Ich denke, dass andere Hardware-gestützte GPG-Lösungen mit Windows-Unterstützung, wie Yubikey, immer noch eine gute Option für Hardware-gestützte Passwörter sein werden.

      * [GpgKee Homepage / Source](https://github.com/jleight/gpgkee)
      * [Keepass2 Plugin Howto](https://keepass.info/help/v2_dev/plg_index.html)

      ## KeepassXC mit FIDO2-Integration: WORK IN PROGRESS

      Mit der FIDO2-Unterstützung im Trezor-T und wahrscheinlich auch im Trezor-R ist die Möglichkeit, eine bessere hardwarebasierte Challenge/Response zu verwenden, in der FIDO 2.1 HMAC-Erweiterung, bekannt als `hmac-secret`, verfügbar. Sie wird nativ von Trezor-T und einigen Yubikeys unterstützt, sowie von Dutzenden anderer Geräte, die bei der fido alliance gelistet sind. Es gibt keine Prämie oder Verpflichtung für diese Feature-Anfrage, aber die Maintainer von KeepassXC sind in der Regel ziemlich schnell dabei, Features zu schließen, die nicht funktionieren.

      * [KeepassXC Feature Request](https://github.com/keepassxreboot/keepassxc/issues/3560)

      ***

      # Andere Sicherheits-/Passwort-Tools

      Dies deckt alle direkten Ersatzlösungen für Passwort-Manager ab, die mir einfielen, aber es gibt noch einige andere Tools, die mit der Datensicherheit zu tun haben und vielleicht noch von Nutzen sind.

      ## Trezor unterstützt SSH

      Jahrelang war Benutzername/Passwort die Standardmethode, mit der sich die meisten Menschen zwischen Servern authentifizieren. Einige Websites oder Anwendungsprotokolle unterstützen jedoch SSH. Einer der häufigsten Anwendungsfälle für SSH ist Git / Github, aber auch die Verwendung für einen Rasberry Pi ist üblich. Trezor unterstützt zwei Arten von SSH. Der bereits erwähnte `trezor_agent` unterstützt es, und es gibt auch eine native Unterstützung in Trezor-T mit `libfido2`.

      #### SSH unterstützt mit `trezor_agent`

      Wenn Sie `trezor_agent` bereits konfiguriert haben, erhalten Sie SSH-Fähigkeiten im Grunde kostenlos. Hier ein Beispiel für die Verwendung von `trezor_agent` auf WSL

      wsl TREZOR_PASSPHRASE=geheim_info trezor-agent -e ed25519 git@github.com | clip.exe

      Jetzt befindet sich Ihr öffentlicher Schlüssel in der Zwischenablage, und Sie können wie folgt vorgehen [add an SSH key](
      https://docs.github.com/en/authentication/connecting-to-github-with-ssh/adding-a-new-ssh-key-to-your-github-account) auf Github. Sobald dies geschehen ist, können Sie Ihre SSH-Anmeldeinformationen mit der Shell „trezor_agent“ testen.

      wsl TREZOR_PASSPHRASE=geheim_info trezor-agent -e ed25519 git@github.com –shell

      In der Shell können Sie Ihre Git-Befehle wie gewohnt ausführen. Zum Beispiel wird `ssh git@github.com` nun die erfolgreiche Begrüßungsnachricht ausgeben

      Hallo brianddk! Du hast dich erfolgreich authentifiziert, aber GitHub …
      Verbindung zu github.com geschlossen.

      #### SSH gesichert mit Trezor FIDO2

      Wenn du die FIDO2-Schnittstelle auf dem Trezor-T für SSH benutzen willst, musst du sicherstellen, dass deine OpenSSH-Installation den `ecdsa-sk`-Schlüsseltyp erlaubt, du Unterstützung für `libfido2` hast und [`HIDRAW` enablement](https://github.com/trezor/trezor-firmware/issues/3002) in Ihrem Betriebssystem/Kernel. Von WSL aus würde die FIDO2 SSH-Konfiguration wie folgt aussehen

      ssh-keygen -t ecdsa-sk
      clip.exe < ~/.ssh/id_ecdsa_sk.pub

      Nun befindet sich der öffentliche Schlüssel in der Zwischenablage, und Sie können wie folgt vorgehen [add an SSH key](
      https://docs.github.com/en/authentication/connecting-to-github-with-ssh/adding-a-new-ssh-key-to-your-github-account) auf Github. Sobald dies geschehen ist, wird `ssh git@github.com` die erfolgreiche Hallo-Meldung ausgeben.

      ## Trezor Password Manager Reader

      Falls sich jemand Sorgen um den Zugriff auf seine Passwörter macht, die sich bereits im TPM befinden, so glaube ich nicht, dass wir uns allzu große Sorgen machen müssen. Ich vermute, dass TPM auch nach dem EOL noch viele Jahre lang funktionieren wird. Aber selbst wenn nicht, gibt es einen Offline-TPM-Leser in den `trezorctl`-Supportdateien. Der Passwortleser erfordert, dass der Benutzer den TREZOR-Ordner von Dropbox herunterlädt und das Dienstprogramm auf ihn richtet. Offensichtlich muss `trezorctl` installiert sein.

      * [TrezorCTL install Howto](https://trezor.io/learn/a/trezorctl-on-windows)
      * [Trezor’s `pwd_reader` utility](https://github.com/trezor/trezor-firmware/blob/38fca4a/python/tools/pwd_reader.py)

      ## Trezor OTP-Dienstprogramm

      Viele Websites bieten eine Form der Multi-Form-Identifizierung (2FA/MFA) an. Von der sichersten bis zur unsichersten Form umfassen diese 2FA-Optionen FIDO2.1, U2F, OTP und SMS. Ich würde allerdings behaupten, dass SMS weniger sicher ist als keine 2FA. In jedem Fall ist eine hardwaregestützte 2FA extrem wichtig, sofern verfügbar. Selbst wenn Ihre Website keine „Security Key“-basierte 2FA unterstützt, können Sie Trezor verwenden, um Ihre OTP-Geheimcodes zu sichern. Verwenden Sie das Trezor OTP-Dienstprogramm, um Authenticator (OTP)-Codes sicher zu generieren. Wie zuvor erfordert dies `trezorctl`, um zu funktionieren.

      * [TrezorCTL install Howto](https://trezor.io/learn/a/trezorctl-on-windows)
      * [Trezor’s `trezor-otp` utility](https://github.com/trezor/trezor-firmware/blob/38fca4a/python/tools/trezor-otp.py)

      ## Trezor EncFS-Dienstprogramm

      Das alte Linux-Dienstprogramm EncFS war früher sehr beliebt, insbesondere für Daten, die auf FAT-Dateisystemen gesichert werden mussten. Aber eine Reihe von Sicherheitsproblemen um 2014 herum ließ das Dienstprogramm in Ungnade fallen. Die meisten davon wurden in späteren Versionen behoben, aber seit ein paar Jahren scheint die Aktivität im Repository zum Erliegen gekommen zu sein. Trotzdem funktioniert es immer noch gut unter Windows, Linux und Mac, und es gibt ein Dienstprogramm zur sicheren EncFS-Verschlüsselung mit Trezor.

      * [TrezorCTL install Howto](https://trezor.io/learn/a/trezorctl-on-windows)
      * [EncFS Homepage](https://vgough.github.io/encfs/)
      * [Trezor’s `encfs_aes_getpass` utility](https://github.com/trezor/trezor-firmware/blob/38fca4a/python/tools/encfs_aes_getpass.py)

      ***

      # A note on security

      Im Gegensatz zur ECDSA-Signierung speichern alle Passwort-Manager die Datenbank entschlüsselt im Speicher. Wir hoffen, dass sie immer nur Teile entschlüsseln, aber wenn Ihr System von Viren befallen ist, helfen Ihnen hardwaregestützte Passwortmanager nicht weiter. Die hier erwähnten Hardware-Geräte dienen lediglich als SCHLÜSSEL zum Öffnen eines Schlosses. Sie sind NICHT das Schloss selbst. Wenn Sie die Passwortsicherheit wirklich auf die n-te Stufe heben wollen, sollten Sie Ihren Passwortmanager auf einer Tails-Instanz laufen lassen. In diesem Fall wäre eine der vielen Lösungen, die auf `pass` basieren und mit `trezor_agent` unterstützt werden, die ideale Lösung.

      * [Tails Homepage](https://tails.boum.org/)
      * [my old Trezor on Tails Wiki](https://github.com/brianddk/trezor-tails/wiki)

Ansicht von 0 Antwort-Themen
  • Du musst angemeldet sein, um auf dieses Thema antworten zu können.
Zur Werkzeugleiste springen