De meeste wachtwoordmanagers op de markt vereisen alleen het hoofdwachtwoord van de gebruiker om toegang te krijgen tot hun wachtwoordkluis. Als het hoofdwachtwoord is gecompromitteerd, kan
Het zero-trust en zero-knowledge versleutelingsmodel van Keeper Security zorgt ervoor dat zelfs in het ergste geval de gehele inhoud van uw Keeper-kluis wordt beschermd met meerdere lagen beveiliging en encryptie. Keeper heeft zich meer dan tien jaar lang gehouden aan zijn belofte om uw meest waardevolle gegevens te beschermen via ons eersteklas beveiligingsmodel en een transparante aanpak om dit met het publiek te delen.
Er zijn veel verschillen tussen hoe Keeper de klantgegevens beschermt in vergelijking met onze concurrenten. Door de gegevenslekken van LastPass is de vraag ontstaan hoe de opgeslagen kluisinformatie wordt beschermd in het geval van een gegevenslek. Hoewel Keeper uitgebreide beveiligingsmaatregelen neemt om inbreuken te voorkomen, willen klanten terecht onze bescherming begrijpen, voor het geval dat er zich toch een inbreuk voordoet. Op deze pagina is een zeer gedetailleerd document beschikbaar dat het versleutelingsmodel van Keeper beschrijft. In deze blogpost worden de belangrijkste beschermingen beschreven die gebruikers moeten beschermen in het geval van een gegevenslek.
Encryptie van kluisgegevens
Keeper is gebouwd met een meerlaags encryptiesysteem dat is gebaseerd op door de klant gegenereerde encryptiesleutels. 256-bits AES-sleutels op recordniveau en sleutels op mapniveau worden gegenereerd op het apparaat van de klant en versleutelen elk opgeslagen kluisrecord. Alle inhoud van de kluis wordt versleuteld, inclusief logins, bestandsbijlagen, TOTP-codes, betalingsinformatie, URL’s en aangepaste velden.
Encryptiesleutels worden lokaal op het apparaat gegenereerd om zero-knowledge te behouden en geavanceerde functies zoals het uitwisselen van records en mappen te ondersteunen. Zero-knowledge betekent dat elke gebruiker volledige controle heeft over de encryptie en ontcijfering van alle persoonlijke gegevens in diens Keeper-kluis, en geen van de opgeslagen gegevens toegankelijk is voor anderen, zelfs niet voor Keeper-medewerkers.
Recordsleutels en mapsleutels worden omwikkeld door een andere sleutel, de 256-bits AES-gegevenssleutel.
Op het apparaat van de gebruiker wordt een andere 256-bits AES-clientsleutel gegenereerd voor het versleutelen van een lokale offline cache (als uw beheerder offline toegang toestaat). Ten slotte wordt de 256-bits AES-gegevenssleutel versleuteld met een andere sleutel, zoals beschreven in het volgende gedeelte.
Bescherming van de gegevenssleutel
Voor het ontcijferen van de kluis van een gebruiker moet de gegevenssleutel worden ontcijferd.
Voor gebruikers die inloggen met een hoofdwachtwoord: de sleutel voor het ontcijferen en versleutelen van de gegevenssleutel is afgeleid van het hoofdwachtwoord van de gebruiker met behulp van de op wachtwoorden gebaseerde sleutelafleidingsfunctie (PBKDF2), met standaard maximaal 1.000.000 iteraties. Nadat de gebruiker het hoofdwachtwoord heeft ingevoerd, wordt de sleutel lokaal afgeleid en wordt de gegevenssleutel uitgepakt. Nadat de gegevenssleutel is ontcijferd, wordt deze gebruikt om de individuele recordsleutels en mapsleutels uit te pakken. De recordsleutel ontcijfert vervolgens elke opgeslagen recordinhoud lokaal.
Voor gebruikers die inloggen met SSO- of wachtwoordloze technologie: elliptische curve-cryptografie wordt gebruikt om gegevens op apparaatniveau te versleutelen en te ontcijferen. Een lokale ECC-256-privésleutel (secp256r1) wordt gebruikt om de gegevenssleutel te ontcijferen. Nadat de gegevenssleutel is ontcijferd, wordt deze gebruikt om de individuele recordsleutels en mapsleutels uit te pakken. De recordsleutel ontcijfert vervolgens elke opgeslagen recordinhoud. De versleutelde gegevenssleutel wordt verzonden tussen de apparaten van de gebruiker via een push-systeem of sleuteluitwisselingsservice die we apparaatgoedkeuring noemen, die door de klant wordt beheerd om zero-knowledge te behouden.
Belangrijkste punten:
- Voor klanten die een hoofdwachtwoord gebruiken om in te loggen, is een sterk en uniek hoofdwachtwoord van cruciaal belang, samen met de handhaving van 1.000.000 PBKDF2-iteraties. Door de Keeper Admin Console te gebruiken, kunnen Keeper-beheerders eenvoudig complexiteitsregels voor het hoofdwachtwoord afdwingen aan eindgebruikers en iteraties in het op rollen gebaseerde afdwingingsbeleid van Keeper.
- Voor klanten die Keeper implementeren via een Single Sign-On-product (SSO), zoals Azure, Okta, Ping, ADFS of een andere identiteitsprovider, is er geen hoofdwachtwoord om zich zorgen over te maken en bestaat de bedreigingsvector van het afleiden van hoofdwachtwoordsleutels niet. In dit model worden elliptische curve-sleutels gebruikt voor alle versleuteling van gegevens. De bescherming van gegevens met Keeper SSO Connect is volledig gedocumenteerd en gepatenteerd. Een overzicht op hoog niveau van de functie is hier beschikbaar.
- Een gedetailleerde beschrijving en wiskundig bewijs van de sterkte van kluizen die zijn gecodeerd met van wachtwoord afgeleide sleutels versus Elliptic Curve (EC)-sleutels, wordt beschreven in de documentatie van het encryptiemodel van Keeper. Het is vermeldenswaard dat de Bitcoin-blockchain ECC-256 gebruikt. Dit creëert de facto een bounty van 300 miljard dollar op de sterkte van 256-bits elliptische curven.
Voor ondernemingen die een veilige wachtwoordmanager willen implementeren voor gebruikers, biedt Keeper SSO Connect het hoogste niveau van gegevensbescherming naast een naadloze integratie met uw huidige identiteitsstack. Aangezien er geen hoofdwachtwoord wordt gebruikt, wordt de bedreigingsvector van brute force-aanvallen tegen opgeslagen gegevens geëlimineerd.
Encryptie onderweg
Keeper is een SaaS-platform dat versleutelde gegevens in meerdere geografische regio’s host met Amazon Web Services (AWS). Klanten kunnen hun Keeper-tenant hosten in de primaire regio van hun voorkeur. Klantgegevens (opgeslagen cijfertekst) en toegang tot het platform worden geïsoleerd tot de specifieke regio van de keuze van de klant.
Alle versleutelde payloads die naar Keeper-servers worden verzonden, worden verpakt door een 256-bits AES-transmissiesleutel naast Transport Layer Security (TLS), om te beschermen tegen man-in-the-middle-aanvallen. De transmissiesleutel wordt gegenereerd op het client-apparaat en overgedragen naar de server met behulp van ECIES-encryptie via de openbare EC-sleutel van de server.
Deze versleuteling van de transmissiesleutel biedt een extra laag 256-bit-versleuteling bovenop de gegevensversleuteling die al in de payload is verpakt. De transmissie-encryptie tunnelt rechtstreeks van het apparaat van de gebruiker naar de applicatieservers in de omgeving van Keeper.
Cloudbescherming
Keeper heeft een geavanceerd cloudauthenticatie- en netwerkcommunicatiemethode ontwikkeld die is ontworpen voor de hoogste niveaus van privacy, beveiliging en vertrouwen.
Voor gebruikers die inloggen met een hoofdwachtwoord: een tweede PBKDF2-sleutel wordt lokaal gegenereerd met maximaal 1.000.000 iteraties en vervolgens gehasht met HMAC_SHA256 om een authenticatietoken af te leiden.
Voor gebruikers die inloggen met SSO- of wachtwoordloze technologie: gebruikers kunnen zich authenticeren via hun SSO-identiteitsprovider en vervolgens de cijfertekst van hun kluis lokaal op hun apparaat ontcijferen. Elk apparaat heeft zijn eigen publieke/private EC (Elliptic Curve)-sleutelpaar en gecodeerde gegevenssleutel. Om op een nieuw apparaat in te loggen, moet de gebruiker bestaande apparaten gebruiken om een goedkeuring uit te voeren of kan een beheerder met het privilege een nieuw apparaat goedkeuren.
In de cloud-kluis van Keeper (gehost door AWS) slaan we de kluis van elke gebruiker op als versleutelde cijfertekst, die lokaal op het apparaat van de gebruiker is versleuteld. Naast de encryptie van de payload en encryptie van de transmissie, versleutelt Keeper ook opgeslagen versleutelde gegevenssleutels met hardwarebeveiligingsmodules in de AWS-omgeving.
Certificeringen en naleving
Keeper is het veiligste, gecertificeerde, geteste en gecontroleerde wachtwoordbeveiligingsplatform ter wereld. Keeper heeft de langst bestaande SOC 2- en ISO 27001-certificeringen in de sector. Keeper voldoet aan AVG, voldoet aan CCPA, is FedRAMP-geautoriseerd, StateRAMP-geautoriseerd en is gecertificeerd door TrustArc voor online privacy. Keeper is PCI-DSS-gecertificeerd.
Belangrijkste punten:
- Keeper slaat in zijn broncode geen geheime informatie op zoals toegangssleutels voor de cloud-infrastructuur. We scannen de broncode regelmatig op geheime informatie.
- De broncode van Keeper wordt privaat bewaard in Github Enterprise, maar bevat echter geen informatie die nodig is om toegang te krijgen tot de kluis van een gebruiker. De versleuteling van gegevens gebeurt op lokaal apparaatniveau, en veel van deze broncode wordt gepubliceerd in onze openbaar Github-opslag als onderdeel van de producten Commander en Secrets Manager van Keeper.
- Keeper maakt geen gebruik van externe providers zoals Twilio for 2FA. Keepers leveranciers hebben geen last gehad van datalekken.
- Keeper biedt aan geen enkele derde het beheer van of de toegang tot onze AWS-datacenters. Alle infrastructuurbeheer wordt uitgevoerd door fulltime medewerkers van Keeper Security, die Amerikaanse burgers zijn en in de VS wonen.
- Keeper heeft de meeste beveiligingscertificeringen in de sector. Keeper is SOC2-gecertificeerd, FedRamp-geautoriseerd, StateRamp-geautoriseerd en ISO27001-gecertificeerd.
Onze belofte van transparantie
Keeper is niet alleen toegewijd aan beveiliging, we zijn er fanatiek over. Daarom maken we elk detail van ons versleutelingsmodel beschikbaar voor het publiek. Wij zijn van mening dat onze klanten het verdienen om op de hoogte te zijn van elke stap die we zetten om ervoor te zorgen dat hun gegevens veilig zijn in het licht van een steeds veranderend cybersecurity-landschap.
Het zero-trust en zero-knowledge versleutelingsmodel van Keeper zorgt ervoor dat zelfs in het ergste geval uw Keeper-kluis wordt beschermd en we voeren voortdurend beveiligingstests uit om ervoor te zorgen dat we de beste oplossing blijven om uw meest waardevolle gegevens te beschermen.
Keeper voert elk kwartaal applicatie-penetratietests uit van al onze producten en systemen met penetratietesters van derden, waaronder de NCC Group en Cybertest. Deze omvatten penetratietests in red-team-stijl van zowel interne als extern blootgestelde systemen met volledige toegang tot de broncode.
Keeper wekt nu samen met Bugcrowd voor het beheer van zijn ‘bug bounty’ en Vulnerability Disclosure Program (VDP), ofwel het bekendmaken van onze kwetsbaarheden. Het VDP van Keeper Security staat op bugcrowd.com/keepersecurity.
Om de transparantie te vergroten, publiceert Keeper gedetailleerde release-opmerkingen op elk platform. Als u vragen heeft, stuur dan een e-mail naar security@keepersecurity.com.