您可能也会喜欢
出版
日期:
03 8 月, 2022
写的
Craig Lurey
不是。 Keeper® 从未遭遇黑客攻击或泄露。 在本文中,我们将研究为什么世界各地数以百万计的消费者和数千家企业信任 Keeper 来保护他们的密码和其他私人信息。
Keeper Security 是什么?
Keeper Security 正在通过显著减少与密码相关的数据泄露和网络威胁,改变组织和个人保护密码和敏感数字资产的方式。
Keeper 是零知识安全和加密软件的领先提供商,涵盖密码、通行密钥、密钥、连接和权限访问管理,以及暗网监控、数字文件存储、加密消息传递等。 我们保护消费者以及各个主要行业领域各种规模的企业。 Keeper 拥有业内历史最悠久的 SOC 2 和 ISO27001 认证,并且我们获得了 FIPS 140-2 和 FedRAMP 授权。
Keeper 被《PC 杂志》评为最佳密码管理器和编辑选择奖、《美国新闻与世界报告》评为最佳整体密码管理器、G2 企业领导者、IAM 热门公司、端点安全领域最具创新力以及年度安全前沿公司。 Keeper 在应用程序商店中拥有超过275,000 条五星评论。
面向消费者和家庭的 Keeper
消费者和家庭的 Keeper 密码管理器存储您所有的密码,MFA 代码和一系列其他敏感数据位于安全的数字网络保管库中,并能够在您的所有网站和应用程序上自动填充您的登录凭证。 我们的消费者解决方案使用与我们的商业产品相同的专有零知识加密,将企业级安全性交到消费者手中。 只有用户可以访问和解密他们存储的密码和文件。 没有人可以访问我们的用户的主密码、加密密钥或保险库内容,甚至 Keeper 自己的员工也无法访问。
面向组织的 Keeper
Keeper 企业密码管理及安全平台:
- 为每位员工提供一个安全、加密的数字保险库,用于存储他们的密码、文件和其他敏感数据。 员工几乎可以从任何设备和所有主要的网络浏览器访问他们的保险库,自动为他们的所有帐户生成唯一的、复杂的密码,并自动将他们的登录凭证填写到他们的所有网站和应用程序中。
- 使 IT 管理员能够完全了解员工的密码实践,使他们能够监视密码使用并在整个组织中实施密码安全策略,包括密码复杂性要求、双因素身份验证 (2FA)、基于角色的访问控制 (RBAC) 和其他安全策略。
Keeper 使用起来安全吗?
Keeper 使用完全安全。 Keeper 自己的员工在内部使用我们的密码管理器来保护公司密码和数据,并安全地共享文件。
Keeper 是一家零信任和零知识安全提供商。 所有加密和解密都只发生在登录到保险库的用户设备上,这意味着 Keeper 用户是唯一可以加密和解密其数据的人。
Keeper’s secure, reliable cloud vault is protected by APIs, which are validated through authorization by the client device. The client retrieves a session token upon login and sends it with each API call. The session token is tracked on the server. Login is performed either by a private Master Password or SAML 2.0 Single Sign-On (SSO) authentication.
当使用主密码时,客户端设备使用 PBKDF2-HMAC-SHA256 和随机盐派生一个 256 位的认证密钥。 通过使用 SHA-256 对身份验证密钥进行哈希运算来生成“身份验证哈希”。 要登录,将身份验证哈希值与云安全库中存储的身份验证哈希值进行比较。 登录后,在服务器上生成会话令牌并发送给客户端,供客户端设备用于后续的 API 请求。 会话必须是活动的,以允许继续使用客户端到服务器的通信。
Keeper 采用 FIPS 140-2 验证加密模块,以满足严格的政府和公共部门安全要求。 Keeper 的加密已通过 NIST CMVP 认证,并经认可的第三方实验室验证符合 FIPS 140 标准。
关于 Keeper 的认证和加密模型的更多细节可以在我们的在线知识库中找到。
Keeper 为最流行和最安全的2FA方法提供支持:SMS,基于 TOTP 的身份验证器应用,如 Google 或 Microsoft 身份验证器、RSA SecurID、DUO Security、Keeper DNA(与 Apple Watch 和 Android Wear 设备的可穿戴设备认证)和 FIDO2 WebAuthn 设备(如 Yubikey)。 组织可以使用 Keeper 的基于角色的实施策略来实施 2FA。
Keeper 是否曾被黑客攻击?
否,Keeper 从未被黑客攻击。 2017 年,一名安全研究人员在 Keeper 浏览器扩展中发现了一个漏洞,这是一个独立于 Keeper Desktop 应用的应用程序。 我们在确认后的 24 小时内修补了这个漏洞,弃用了以前版本的 Keeper 浏览器扩展,并在我们的博客上报告了这一事件。 我们随后发布了第二篇博客,进一步向客户解释了这一情况,并向他们保证,没有报告或实际的安全漏洞,也没有与此漏洞有关的客户信息丢失。
自 2017 年以来发生了很多变化! Keeper 与 Bugcrowd 合作管理我们的漏洞赏金和漏洞披露计划 (VDP)。 Keeper Security VDP 可以在 https://bugcrowd.com/keepersecurity 上找到。
Further, Keeper began working with world-renowned leader NCC Group and CyberTest to perform quarterly pen testing. The results of our quarterly pen tests are available to our business customers upon execution of a mutual Non-Disclosure Agreement (NDA). If your organization would like a copy, please contact our sales team.
Keeper 还遵守非常严格的内部安全实践,并定期接受第三方审核,以帮助确保我们继续开发安全软件并提供世界上最安全的网络安全平台,包括以下内容:
- Keeper uses GitHub vulnerability scanning to monitor for vulnerabilities in dependencies and CodeQL for automated source code analysis.
- Keeper 使用 Github Enterprise 内置的 CodeQL 工具执行 SAST/DAST,并使用 Synopsys / Black Duck 进行定期测试。 Keeper 的工程团队审查静态分析输出以确定有效的发现。
- Keeper 采用并整合了 OWASP 开发人员指南和 OWASP Cheat Sheet 系列中提供的最佳实践和建议,以实现和增强我们的安全软件工程。 Keeper 使用 OWASP 测试指南和/或 OWASP 代码审查指南来查找和减轻我们的服务/应用程序中的漏洞。
- Keeper 在本地开发工作站执行所有内部软件开发。 我们不允许第三方进入我们的系统。
- 每个项目通常由一个 GitHub 存储库、一个 Jira 项目、一个看板和一个 GitHub Actions 构建管道组成。 随着软件的开发,GitHub 的仓库会定期更新。 自动化 GitHub Actions 构建要么在提交时,要么在定期的专用构建间隔内。 Jira 票证和看板用于组织项目开发。
- 在 QA 验收之前,所有源代码都要经过团队领导的同行评审,包括安全检查、未经授权的访问、数据注入攻击等。
- 服务器操作系统、网络服务器、应用服务器、数据库服务器的加固和定制使用配置模板和脚本 API 调用 Amazon AWS 进行标准化。
- Keeper 每月和每天对 Keeper 的系统基础设施进行漏洞扫描。
- Keeper 定期执行内部和外部渗透测试。 使用第三方服务和内部工具和系统的组合,每月执行一次渗透测试。
- 重大漏洞在 48 小时内修补,非重大(中等)漏洞在 10 个工作日内修补。
Keeper 认证和合规性
Keeper 是世界上最安全、经认证、经过测试和审核的密码安全平台。 Keeper 拥有业内最长的 SOC 2 和 ISO 27001 认证。 Keeper 已获得 FedRAMP 和 StateRAMP 授权,并根据数据隐私框架 (DPA) 的规定,由 TrustArc 获得在线隐私认证。 企业客户可以通过联系我们的销售团队获得我们的 SOC 2 和 ISO 27001 报告的副本。
Keeper 符合 GDPR、CCPA、PCI DSS 和 HIPAA,并且我们是美国商务部根据 EAR 出口许可。 我们遵守所有当地监管数据安全要求,并通过 TrustArc 在线隐私认证。
GDPR 确定了两个可以处理个人数据的实体。 数据控制者决定收集哪些数据以及对个人数据进行何种处理。 数据处理者在数据控制者的指示下,收集、储存、检索及/或删除个人资料。 当我们直接向消费者出售密码管理器时,Keeper Security 是一个数据控制器。 当我们向企业出售产品时,我们是数据处理者,而企业则被视为数据控制者。
欲了解更多关于 Keeper GDPR 合规性的信息,或下载 GDPR 下载数据处理协议,请访问 https://www.keepersecurity.com/GDPR.html
作为 FedRAMP 授权的(中等影响)云服务提供商,Keeper 有能力帮助各组织遵守《国际武器贸易条例》(ITAR),该条例规定了美国对太空和国防相关物品和服务的进出口。
有关我们合规认证的更多信息,请访问 https://www.keepersecurity.com/security.html?s=compliance
Keeper 是 FedRAMP 授权的
Keeper Security Government Cloud (KSGC) 是 FedRAMP 授权的中等影响级别。 我们来谈谈这是什么意思。
联邦风险和授权管理计划 (FedRAMP) 由美国政府创建,旨在实现对云产品和服务的安全评估、授权和持续监控的标准化方法。 联邦机构必须使用 FedRAMP 认证的云服务。
要在 FedRAMP 市场上市,像 Keeper 这样的云服务提供商 (CSP) 必须经历长达数月的严格授权过程,其中包括对所有系统的非常详细的审计。 即使在获得 FedRAMP 授权之后,CSP 的工作也没有结束! CSP 必须持续维护其系统以满足 FedRAMP 要求。 FedRAMP 项目通过要求 CSP 每月向使用其服务的机构提供持续监测成果来验证这一点,包括更新的行动计划和里程碑 (POA&M) 报告以及扫描结果/报告。 此外,CSP 还必须完成年度安全评估。
虽然 FedRAMP 是为联邦政府机构设计的,但选择 FedRAMP 和 StateRAMP 认证的密码管理解决方案(如 Keeper Security government Cloud)也有利于州和地方政府机构,以及高度监管行业的私营部门组织。
