Firmy i przedsiębiorstwa
Chroń swoją firmę przed cyberprzestępcami.
Wypróbuj za darmoKeeper wdraża pełne szyfrowanie z architekturą zero-knowledge i zero-trust, aby chronić Twoje informacje i uniemożliwić cyberprzestępcom dostęp do Twoich danych.
Keeper chroni Twoje hasła, wpisy tajne i dane osobowe za pomocą 256-bitowego szyfrowania AES i kryptografii krzywej eliptycznej (ECC), która jest uznawana za najbardziej niezawodne szyfrowanie w branży cyberbezpieczeństwa.
Keeper jest dostawcą zabezpieczeń typu zero-knowledge. Jest to architektura systemu, która gwarantuje najwyższy poziom bezpieczeństwa i prywatności. Szyfrowanie i deszyfrowanie danych odbywa się zawsze lokalnie na urządzeniu użytkownika.
Keeper zobowiązuje się do ochrony prywatności i danych osobowych swoich klientów. Naszą misją jest tworzenie najbezpieczniejszych i najbardziej innowacyjnych aplikacji zabezpieczających na świecie i wierzymy, że zgłoszenia błędów od światowej społeczności badaczy bezpieczeństwa są cennym elementem zapewniającym bezpieczeństwo produktów i usług Keeper. Z tych powodów nawiązaliśmy współpracę z Bugcrowd w celu zarządzania naszym Programem zgłaszania luk w zabezpieczeniach (VDP) i programem Bug Bounty.
Keeper ma certyfikat programu NIST Cryptographic Module Verification Program (CMVP) w zakresie zgodności ze standardem FIPS 140.
Keeper współpracuje z zewnętrznymi ekspertami, takimi jak NCC Group, CyberTest i niezależnymi badaczami bezpieczeństwa w celu przeprowadzania kwartalnych testów penetracyjnych wszystkich rozwiązań i systemów.
Keeper wykorzystuje usługi AWS w kilku regionach – w tym w USA, US GovCloud, UE, AU, CA i JP – do hostowania i obsługi platformy i architektury Keeper. Zapewnia to klientom najbezpieczniejsze dostępne przechowywanie danych w chmurze. Dane są w pełni odizolowane w preferowanym przez klienta regionie AWS podczas przesyłania i przechowywania.
Globalna infrastruktura Keeper jest hostowana w wielu centrach danych AWS o wysokiej dostępności. Te centra danych są rozmieszczone w wielu regionach AWS, aby zapewnić dostępność usług w przypadku regionalnej przerwy w dostępie do Internetu.
Keeper obsługuje uwierzytelnianie wieloskładnikowe (MFA), uwierzytelnianie SSO, zasady dostępu warunkowego (CAP), sprzętowe klucze bezpieczeństwa FIDO2 WebAuthn, klucze dostępu, logowanie biometryczne (takie jak Face ID, Touch ID i Windows Hello) oraz Keeper DNA®, który wykorzystuje smartwatche do potwierdzania tożsamości.
Dane użytkowników końcowych są szyfrowane i odszyfrowywane na poziomie urządzenia i wpisu – nigdy w chmurze lub na serwerach Keeper. Szyfrowanie na poziomie wpisów zmniejsza „promień rażenia” informacji przechowywanych w sejfach użytkowników i stanowi podstawę wielu funkcji platformy działających na zasadzie najniższych uprawnień, takich jak udostępnianie wpisów.
Firma Keeper Security , Inc. z pasją rozwija oprogramowanie Keeper na urządzenia przenośne i komputery osobiste, aby zapewnić użytkownikowi jak najwyższy poziom zabezpieczeń danych. Miliony klientów bezpośrednich i firm zaufało już aplikacji Keeper w dziedzinie ochrony i dostępu do haseł i danych osobistych.
Oprogramowanie Keeper jest nieustannie rozwijane i aktualizowane, aby zapewnić naszym klientom najnowsze rozwiązania technologiczne w dziedzinie zabezpieczeń. Na niniejszej stronie znajduje się omówienie architektury zabezpieczeń aplikacji Keeper, technik szyfrowania oraz środowiska serwerowego z najnowszej wersji aplikacji. Ponadto niniejszy dokument zawiera omówienie strony technicznej aplikacji, w tym metod szyfrowania i systemu zabezpieczeń.
Z naszą polityką prywatności oraz warunkami użytkowania można zapoznać się na naszej stronie internetowej, klikając poniższe odnośniki:
Keeper wykorzystuje architekturę zero-trust, która zapewnia, że każdy użytkownik musi zostać zweryfikowany i uwierzytelniony, zanim uzyska dostęp do strony internetowej, aplikacji lub systemu.
Keeper Enterprise Password Management (EPM) zapewnia firmom pełną widoczność i kontrolę nad praktykami dotyczącymi haseł pracowników, umożliwiając administratorom IT monitorowanie użycia haseł i egzekwowanie najlepszych praktyk bezpieczeństwa.
Keeper Secrets Manager (KSM) zapewnia zespołom inżynieryjnym platformę do zarządzania wszystkimi poświadczeniami, w tym wpisami tajnymi infrastruktury, kluczami SSH, kluczami API i certyfikatami z zestawami SDK i integracją CI / CD.
Keeper Connection Manager (KCM) to brama pulpitu zdalnego, która zapewnia zespołom DevOps i IT łatwy dostęp do sieci typu zero-trust (Zero Trust Network Access, ZTNA) w celu zapewnienia dostępu do RDP, SSH, baz danych, wewnętrznych aplikacji internetowych i punktów końcowych Kubernetes za pośrednictwem przeglądarki internetowej – nie jest wymagany żaden agent.
Użytkownicy Keeper na dowolnym urządzeniu klienta, w tym komputerach stacjonarnych, urządzeniach mobilnych, w przeglądarkach i wierszu poleceń.
IdP to usługa do przechowywania tożsamości użytkowników i zarządzania nimi.
Umożliwia rozszerzenie SSO na domenach zabezpieczeń, umożliwiając logowania SSO z poziomu przeglądarki.
Użytkownicy uprzywilejowani z dostępem do wysoce poufnych kont, loginów i danych.
Skorzystaj z tej platformy, aby skonfigurować i wprowadzić polityki biznesowe dla użytkowników końcowych.
Zezwól sieciom typu zero-trust na dostęp do Twojej infrastruktury bez VPN.
Zabezpiecza wpisy tajne infrastruktury takie jak klucze API, hasła do baz danych, klucze dostępu, certyfikaty i wszelkiego rodzaju poufne dane.
Zabezpiecza Twoje hasła i prywatne informacje przed cyber-przestępcami.
Urządzenia końcowe uzyskujące dostęp do bezpiecznego sejfu na hasła.
Różne punkty końcowe, do których użytkownicy końcowi najczęściej uzyskują dostęp.
Narzędzia DevOps i deweloperskie, które automatyzują proces tworzenia i rozwoju aplikacji.
Strony internetowe, aplikacje i systemu, które wymagają logowania.
Keeper zapewnia wielowarstwowy model szyfrowania oparty na najmniejszych uprawnieniach. Na urządzeniu klienckim generowane są 256-bitowe klucze AES na poziomie wpisu i klucze na poziomie folderu, które szyfrują każdy zapisany wpis w sejfie. Wpisy w sejfie i cała ich zawartość są w pełni szyfrowane, co obejmuje loginy, załączniki do plików, kody TOTP, informacje o płatnościach, adresy URL i pola niestandardowe.
Klucze szyfrowania są generowane lokalnie na urządzeniu w celu zachowania zasady zero knowledge i obsługi zaawansowanych funkcji, takich jak udostępnianie wpisów i folderów. Podejście zero knowledge oznacza, że każdy użytkownik ma pełną kontrolę nad szyfrowaniem i odszyfrowywaniem wszystkich danych osobowych w swoim sejfie Keeper, a żadne z przechowywanych przez niego informacji nie są dostępne dla nikogo innego, nawet dla pracowników Keeper.
Klucze wpisów i klucze folderów są szyfrowane 256-bitowym kluczem danych AES, który jest unikatowy dla każdego użytkownika i generowany na jego urządzeniu.
Na urządzeniu użytkownika generowany jest kolejny 256-bitowy klucz klienta AES do szyfrowania lokalnej pamięci podręcznej offline (jeśli administrator firmy zezwala na dostęp offline). Na koniec 256-bitowy klucz danych AES jest szyfrowany innym kluczem, jak opisano w następnej sekcji.
Keeper szyfruje dane na różne sposoby w zależności od sposobu logowania użytkowników. Użytkownicy indywidualni i członkowie planu rodzinnego korzystają z hasła głównego i uwierzytelniania biometrycznego. W przypadku użytkowników biznesowych i korporacyjnych, którzy logują się za pomocą SSO, Keeper wykorzystuje szyfrowanie za pomocą krzywej eliptycznej w celu zapewnienia bezpieczeństwa bez podawania hasła.
Użytkownicy logujący się za pomocą hasła głównego: Klucz do odszyfrowania i zaszyfrowania klucza danych jest wyprowadzany z hasła głównego użytkownika przy użyciu funkcji zmiany klucza opartej na haśle (PBKDF2), z 1 000 000 iteracji. Po wpisaniu przez użytkownika hasła głównego klucz jest wyprowadzany lokalnie, a następnie rozpakowuje klucz danych. Klucz danych jest odszyfrowywany i używany do odszyfrowania poszczególnych kluczy wpisów i folderów. Odszyfrowanie każdego klucza przechowuje zawartość wpisu lokalnie na urządzeniu użytkownika.
Model szyfrowania Keeper – logowanie przy użyciu hasła głównegoUżytkownicy logujący się za pomocą SSO lub technologii bezhasłowej: Kryptografia krzywych eliptycznych jest używana do szyfrowania i odszyfrowywania danych na poziomie urządzenia. Do odszyfrowania klucza danych używany jest lokalny klucz prywatny ECC-256 (secp256r1). Po odszyfrowaniu klucza danych jest on używany do rozpakowania poszczególnych kluczy wpisów i folderów. Klucz wpisu odszyfrowuje następnie zawartość każdego z przechowywanych wpisów. Zaszyfrowany klucz danych jest przesyłany między urządzeniami użytkownika za pośrednictwem systemu push lub usługi wymiany kluczy, która nosi nazwę Zatwierdzanie urządzenia. Aby zachować zasadę zero knowledge, usługa Zatwierdzanie urządzenia jest zarządzana lokalnie przez użytkownika końcowego.
SSO Connect Cloud – model wielowarstwowego szyfrowaniaDowiedz się więcej o usłudze Keeper Automator.
Dla użytkowników SSO Connect Cloud klucz prywatny krzywej eliptycznej jest generowany i przechowywany lokalnie na każdym urządzeniu. W nowoczesnych przeglądarkach internetowych i aplikacji Keeper Desktop opartej na Electronie sejf Keeper przechowuje lokalny klucz prywatny EC urządzenia („DPRIV”) jako nieeksportowalny CryptoKey. Na urządzeniach z systemami iOS i macOS klucz jest przechowywany w pęku kluczy urządzenia. Na urządzeniach z systemem Android klucz jest szyfrowany za pomocą Android Keystore, przy użyciu klasy Encrypted Shared Preferences. Tam, gdzie to możliwe, Keeper wykorzystuje bezpieczne mechanizmy przechowywania danych w każdym systemie operacyjnym.
Klucz prywatny urządzenia nie jest bezpośrednio wykorzystywany do szyfrowania lub odszyfrowywania danych sejfu. Po pomyślnym uwierzytelnieniu przez dostawcę tożsamości oddzielny klucz (który nie jest przechowywany) jest wykorzystywany do odszyfrowania danych sejfu. W związku z tym wyodrębnienie lokalnego klucza prywatnego urządzenia w trybie offline nie pozwala odszyfrować sejfu użytkownika.
Keeper korzysta z AWS do hostowania platformy i architektury Keeper. Nasze centra danych AWS znajdują się w wielu lokalizacjach geograficznych, a klienci mogą hostować swoją dzierżawę Keeper w dowolnym preferowanym regionie podstawowym. Gwarantuje to, że dane klienta i dostęp do platformy będą izolowane do tego konkretnego regionu.
Dane sejfu w spoczynku są szyfrowane lokalnie na urządzeniu użytkownika przy użyciu AES-256 GCM, a zaszyfrowane dane w tranzycie są szyfrowane za pomocą TLS 1.3 z dodatkową warstwą szyfrowania w ładunku. Dane klientów są izolowane poprzez zastosowanie szyfrowania na poziomie wpisu.
Model szyfrowania Keeper ma następującą strukturę:
Keeper przechowuje pełną zaszyfrowaną historię wersji każdego wpisu przechowywanego w sejfie użytkownika, dając pewność, że żadne krytyczne dane nie zostaną utracone. Z poziomu aplikacji klienckiej Keeper użytkownicy mogą sprawdzić historię wpisów i przywrócić dowolny wpis w sejfie. Jeśli zapisane hasło lub plik w rozwiązaniu Keeper zostaną zmienione lub usunięte, użytkownicy zawsze mają możliwość przywrócenia ich w dowolnym momencie.
Klienci, którzy zakupią Keeper Business, otrzymają dodatkową warstwę kontroli nad swoimi użytkownikami i urządzeniami. Administratorzy Keeper otrzymują dostęp do opartej na chmurze konsoli administracyjnej, która umożliwia pełną kontrolę nad wdrażaniem i usuwaniem użytkowników, uprawnieniami opartymi na rolach, administracją delegowaną, zespołami, integracją z Active Directory/LDAP, uwierzytelnianiem dwuskładnikowym, pojedynczym logowaniem i zasadami egzekwowania zabezpieczeń. Oparte na rolach zasady egzekwowania zabezpieczeń Keeper są w pełni konfigurowalne i skalowalne do dowolnej wielkości organizacji.
Oprócz przechowywania w infrastrukturze AWS wyłącznie zaszyfrowanego przez urządzenie szyfrogramu, Keeper wykonuje również superszyfrowanie za pomocą wieloregionalnych sprzętowych modułów bezpieczeństwa (HSM) przy użyciu kluczy, których nie można eksportować.
Na poziomie produktu/użytkownika oprogramowanie Keeper przechowuje pełną historię zmian każdego wpisu. W związku z tym, jeśli użytkownik wymaga przywrócenia danych, może w dowolnym momencie wyświetlić i przywrócić wcześniejsze wersje swoich zapisanych wpisów Keeper bez ograniczeń za pośrednictwem interfejsu użytkownika.
Na poziomie systemu zaszyfrowane bazy danych i obiekty plików Keeper są replikowane i tworzone są ich kopie zapasowe w wielu regionach geograficznych na potrzeby odzyskiwania danych po awarii. Wszystkie kopie zapasowe są szyfrowane przy użyciu algorytmu AES-256 oraz superszyfrowania szyfrogramu generowanego przez urządzenie.
Klientom, którzy potrzebują pomocy w odzyskiwaniu danych (na przykład z powodu przypadkowego usunięcia sejfu lub folderu udostępnionego), zespół pomocy technicznej Keeper może pomóc w przywróceniu danych do dowolnego punktu w czasie (z dokładnością co do minuty) w ciągu 30 dni. Wsparcie Keeper może pomóc w dowolnym odzyskiwaniu danych, takim jak przywracanie użytkowników, sejfów lub pełne przywracanie danych przedsiębiorstwa.
Fraza odzyskiwania zawierającą 24 słowa umożliwia klientom Keeper odzyskanie dostępu do sejfu Keeper w przypadku utraty lub zapomnienia hasła głównego.
Keeper zaimplementował frazy odzyskiwania przy użyciu tej samej listy słów BIP39, która służy do ochrony portfeli kryptowalutowych. Lista słów używana w BIP39 to zestaw 2048 słów używanych do generowania klucza szyfrowania z 256 bitami entropii. Ta metoda odzyskiwania jest powszechnie stosowana w popularnych portfelach bitcoin i kryptowalut. Każde słowo na liście BIP39 jest starannie dobrane, aby poprawić widoczność i sprawić, że proces odzyskiwania będzie mniej podatny na błędy. Użytkownicy powinni zapisać swoją frazę odzyskiwania i przechowywać ją w bezpiecznym miejscu, takim jak sejf.
Fraza odzyskiwania generuje 256-bitowy klucz AES, który szyfruje kopię klucza danych użytkownika. Aby odzyskać konto i zresetować hasło główne, użytkownicy będą potrzebować frazy odzyskiwania wraz z weryfikacją adresu e-mail i uwierzytelnianiem dwuskładnikowym (2FA).
Administratorzy przedsiębiorstwa mogą wyłączyć odzyskiwanie konta na poziomie zasad wymuszania ról.
Konfiguracja frazy odzyskiwaniaKlienci Keeper Enterprise i Business mogą zarządzać wieloma różnymi funkcjami platformy Keeper, takimi jak zasady dostępu opartego na rolach, udostępnianie, uwierzytelnianie i zarządzanie.
Funkcje administratora są chronione przez platformę Keeper za pomocą szyfrowania i autoryzacji. Autoryzacja gwarantuje, że tylko wyznaczeni użytkownicy mogą wykonywać określone funkcje. Szyfrowanie zapewnia, że wyznaczeni administratorzy mogą fizycznie i kryptograficznie wykonywać tylko te funkcje, które dotyczą danych sejfu lub kluczy kontrolowanych przez przedsiębiorstwo. Oto kilka przykładów:
Zanim użytkownik będzie mógł nawet spróbować zalogować się na konto, musi najpierw przejść etap zatwierdzania i weryfikacji urządzenia. Weryfikacja urządzenia zapobiega wyliczaniu kont i chroni przed atakami siłowymi.
Klienci, którzy logują się przy użyciu hasła głównego, mogą przeprowadzić weryfikację urządzenia przy użyciu kilku metod, takich jak:
W przypadku klientów, którzy uwierzytelniają się za pomocą Keeper SSO Connect Cloud, zatwierdzenie urządzenia odbywa się za pomocą transferu klucza, podczas którego zaszyfrowany klucz danych użytkownika jest dostarczany do urządzenia i odszyfrowywany lokalnie za pomocą klucza prywatnego krzywej eliptycznej użytkownika. Stosowane są następujące metody zatwierdzania urządzeń:
Dowiedz się więcej na temat zatwierdzania urządzeń.
Firma Keeper zachowuje zgodność z RODO i dokłada wszelkich starań, aby jej procesy i produkty były zgodne z RODO dla klientów w Unii Europejskiej i na całym świecie. Przestrzegamy zapisów ram ochrony danych osobowych UE-USA („EU-U.S. DPF”), brytyjskiego rozszerzenia ram ochrony danych osobowych UE-USA, niemieckiej federalnej ustawy o ochronie danych osobowych (BDSG) oraz szwajcarsko-amerykańskich ram ochrony danych osobowych („Swiss-U.S. DPF”) zgodnie z wytycznymi Departamentu Handlu Stanów Zjednoczonych.
Zobacz Politykę prywatności RODO firmy Keeper.
Żadna z aplikacji Keeper nie zawiera modułów śledzących ani bibliotek innych firm, które wykonują śledzenie. Przykładowo, niniejszy raport zawiera informacje na temat aplikacji Keeper dla systemu Android, w której nie zainstalowano żadnych modułów śledzących.
Keeper jest platformą SaaS i hostuje swoje dane w wielu geograficznie odizolowanych centrach danych AWS. Organizacje mogą hostować swoją dzierżawę Keeper w preferowanym regionie podstawowym. Dane klientów i dostęp do platformy będą izolowane do tego konkretnego regionu.
Dostępne regiony:
Sejf Keeper jest chroniony przez interfejsy API, które są weryfikowane poprzez autoryzację na urządzeniu użytkownika.
W przypadku korzystania z hasła głównego urządzenie użytkownika uzyskuje 256-bitowy klucz uwierzytelniający przy użyciu PBKDF2-HMAC_SHA256 z 1 000 000 iteracjami i losową solą. Skrót uwierzytelniający jest tworzony przez mieszanie klucza uwierzytelniającego przy użyciu SHA-256. Podczas logowania skrót uwierzytelniający jest porównywany z zapisanym skrótem uwierzytelniającym w sejfie Keeper. Po zalogowaniu się użytkownika na serwerze tworzony jest token sesji, który jest wysyłany do użytkownika i wykorzystywany przez urządzenie w kolejnych żądaniach API. Aby umożliwić ciągłe korzystanie z komunikacji klient-serwer, sesja musi być aktywna.
Keeper stworzył zaawansowany model uwierzytelniania w chmurze i komunikacji sieciowej z najwyższym poziomem prywatności, bezpieczeństwa, zaufania i przejrzystości. Poniżej przedstawiono kilka kluczowych cech tego modelu uwierzytelniania:
Keeper integruje się ze wszystkimi dostawcami tożsamości zgodnymi z SAML 2.0, w tym Okta, Microsoft Entra ID (Azure), AD FS, Google Workspace, Centrify, OneLogin, Ping Identity, JumpCloud, Duo, Auth0 i innymi.
Nasze produkty oferują dwa różne typy SSO: SSO Connect Cloud i SSO Connect On-Prem. Obie implementacje zapewniają architekturę zero-knowledge z płynnym uwierzytelnianiem użytkowników.
W przeciwieństwie do większości usług SaaS, dane logowania użytkowników Keeper nigdy nie opuszczają ich urządzeń. Gdy użytkownicy logują się do Keeper przy użyciu hasła głównego, na urządzeniu lokalnym wykorzystywany jest PBKDF2 w celu uzyskania 256-bitowego klucza AES do odszyfrowania. Dodatkowy klucz PBKDF2 jest generowany na poziomie urządzenia, a następnie tworzony jest jego skrót za pomocą HMAC_SHA256 w celu utworzenia tokena uwierzytelniającego. Keeper nie ma żadnej wiedzy na temat klucza deszyfrującego użytkownika.
Wszystkie zaszyfrowane ładunki wysyłane do serwerów Keeper są zabezpieczone 256-bitowym kluczem transmisji AES i TLS w celu ochrony przed atakami typu man-in-the-middle (MITM). Klucz transmisji jest generowany na urządzeniu klienckim i przesyłany do serwera przy użyciu szyfrowania ECIES za pośrednictwem publicznego klucza EC serwera.
Użytkownicy nie mogą używać nowych urządzeń do logowania się na swoje konta Keeper bez użycia metody weryfikacji. Keeper obsługuje kilka rodzajów metod weryfikacji, w zależności od schematu uwierzytelniania.
Jeśli użytkownik ma skonfigurowane lub wymuszone uwierzytelnianie wieloskładnikowe, musi najpierw przejść ten krok przed wprowadzeniem hasła głównego.
Jeśli nie zostanie skonfigurowana żadna metoda weryfikacji, użytkownik nie będzie mógł przejść do wprowadzania hasła głównego. To zaawansowane uwierzytelnianie chroni przed kilkoma popularnymi metodami ataków, w tym atakami typu brute force, atakami typu „password spray”, wyliczaniem i atakami MITM.
Aby chronić przed nieautoryzowanym dostępem do konta klienta, Keeper oferuje uwierzytelnianie wieloskładnikowe (MFA) – podejście do uwierzytelniania wymagające co najmniej dwóch składników uwierzytelniania, którymi są składnik wiedzy, posiadania i/lub czynnik nierozłączności. Dowiedz się więcej o konfigurowaniu uwierzytelniania wieloskładnikowego w rozwiązaniu Keeper.
Keeper wykorzystuje Twoje hasło główne i posiadane przez Ciebie urządzenie, aby zapewnić dodatkową warstwę zabezpieczeń, jeśli Twoje hasło główne lub urządzenie zostanie przejęte. Keeper obsługuje klucze sprzętowe FIDO2 WebAuthn i rozwiązania programowe, takie jak TOTP i SMS.
W przypadku korzystania z metody TOTP MFA/2FA Keeper generuje 10-bajtowy tajny klucz przy użyciu kryptograficznie bezpiecznego generatora liczb losowych. Kod ten jest ważny przez około minutę i nie może zostać ponownie użyty po pomyślnym uwierzytelnieniu. Keeper obsługuje dowolną aplikację TOTP, w tym Google Authenticator i Microsoft Authenticator. Keeper integruje się również bezpośrednio z popularnymi usługami MFA, takimi jak Duo i RSA SecurID.
Podczas korzystania z aplikacji uwierzytelniających MFA, takich jak Google Authenticator, Microsoft Authenticator lub innych aplikacji TOTP na Twoim urządzeniu mobilnym, serwer Keeper wewnętrznie generuje kod QR zawierający Twój tajny klucz. Za każdym razem, gdy użytkownik aktywuje MFA, generowany jest nowy klucz.
Aby aktywować uwierzytelnianie wieloskładnikowe, przejdź do ekranu ustawień aplikacji internetowej Keeper, aplikacji komputerowej lub aplikacji dla systemu iOS/Android. Administratorzy Keeper Business mogą również wymusić korzystanie z MFA i obsługiwanych metod MFA za pośrednictwem Konsoli administratora Keeper.
Keeper zapewniaobsługę uwierzytelniani WebAuth zgodnego z FIDO2, a dodatkowym składnikiem są sprzętowe klucze bezpieczeństwa, takie jak YubiKey i klucze Google Titan. Klucze dostępu również są obsługiwane jako metoda 2FA przy użyciu urządzeń fizycznych lub przeglądarek internetowych. Klucze bezpieczeństwa zapewniają bezpieczny sposób wykonywania uwierzytelniania wieloskładnikowego bez konieczności ręcznego wprowadzania kodów przez użytkownika.
Keeper Bridge integruje się z serwerami Active Directory i LDAP, co upraszcza wprowadzanie i wdrażanie użytkowników. Komunikacja Keeper Bridge jest najpierw autoryzowana przez administratora posiadającego uprawnienia zarządzania Bridge. Klucz transmisji jest generowany i udostępniany dla wszystkich kolejnych komunikacji. Klucz transmisji jest stosowany w celu autoryzacji wszystkich operacji wykonywanych przez mostek z wyjątkiem jego uruchamiania. Klucz transmisji można wygenerować ponownie w dowolnej chwili. Klucz zmienia się automatycznie co 30 dni.
Klucz transmisji służy wyłącznie do transmisji, co oznacza, że dany klucz może zostać ponownie zainicjowany, a także unieważniony bez utraty jakichkolwiek danych czy uprawnień.
Keeper Bridge może nie nadać uprawnień dla danej roli lub danemu użytkownikowi. Może też nadać użytkownikowi rolę z określonymi uprawnieniami pod warunkiem, że nie są do tego wymagane żadne klucze. Keeper Bridge nie może podnieść rangi swojej ani użytkownika ponad poziom, którym zarządza. Nie wszystkie operacje są dla niego dostępne, np. Bridge może wyłączyć aktywnego użytkownika, ale nie może go usunąć. To administrator decyduje, czy dany użytkownik ma zostać usunięty czy przeniesiony.
Gdy Keeper jest wdrożony z rozwiązaniem SSO, takim jak Microsoft Entra ID (Azure AD), Okta, Ping, Google Workspace lub innym dostawcą tożsamości SAML 2.0, uwierzytelnianie MFA może być w pełni zarządzane podczas procesu logowania IdP. Keeper obsługuje również zasady dostępu warunkowego Azure dla wszystkich typów urządzeń i aplikacji.
Uwierzytelnianie MFA może być wymuszane zarówno po stronie dostawcy tożsamości, jak i po stronie Keeper. Na przykład, gdy użytkownik przejdzie etap MFA u dostawcy tożsamości, może zostać dodatkowo zmuszony do przejścia drugiego etapu MFA w interfejsie Keeper. Odpowiednie zasady mogą być wymuszane przez administratora Keeper.
Keeper SSO Connect Cloud emożliwia klientom korporacyjnym pełną integrację Keeper z dowolnym dostawcą tożsamości zgodnym z SAML 2.0 i wdrażanie szyfrowanych sejfów dla swoich użytkowników.
Implementacja SAML w rozwiązaniu Keeper pozwala użytkownikowi uwierzytelnić się za pośrednictwem dostawcy tożsamości SSO, a następnie odszyfrować szyfrogram sejfu na swoim urządzeniu. Każde urządzenie użytkownika ma indywidualną parę kluczy krzywej eliptycznej (EC) i zaszyfrowany klucz danych. Ponadto każdy użytkownik ma własny 256-bitowy klucz danych AES. Logując się do Keeper przy użyciu nowego urządzenia, użytkownik musi skorzystać z istniejących urządzeń w celu zatwierdzenia lub, alternatywnie, administrator z uprawnieniami może zatwierdzić jego urządzenie.
Ta funkcja jest niezbędna, aby użytkownik mógł odszyfrować swój sejf lokalnie, na swoim urządzeniu, bez konieczności podawania hasła głównego lub wyprowadzania klucza hasła. Utrzymywane jest podejście zero knowledge, ponieważ chmura nie może odszyfrować klucza danych użytkownika. Zamiast tego klucz danych zaszyfrowanych na urządzeniu (DEDK) jest dostarczany użytkownikowi po pomyślnym uwierzytelnieniu IdP (np. Okta, Entra ID (Azure), Google Workspace, AD FS, Ping, Duo, JumpCloud). Klucz danych użytkownika jest odszyfrowywany lokalnie na urządzeniu za pomocą klucza prywatnego urządzenia z krzywą eliptyczną. Keeper posiada amerykańskie patenty użytkowe na tę technologię, która jest stosowana od 2015 roku.
SSO Connect On-Prem to samodzielnie hostowana integracja, która wymaga hostowanego serwera aplikacji z systemem Windows lub Linux. Aby zachować bezpieczeństwo zero knowledge i zapewnić użytkownikom płynne korzystanie z SSO, Keeper SSO Connect musi być zainstalowany na serwerze klienta. Środowiska Windows, Mac i Linux są w pełni obsługiwane w trybach operacyjnych równoważenia obciążenia o wysokiej dostępności (HA).
Keeper SSO Connect automatycznie generuje i utrzymuje hasło główne dla każdego udostępnionego użytkownika, które jest losowo wygenerowanym 256-bitowym kluczem. Hasło główne jest szyfrowane za pomocą klucza SSO. Klucz SSO jest szyfrowany za pomocą klucza drzewa. Klucz SSO jest pobierany z serwera po uruchomieniu usługi Keeper SSO Connect, a następnie odszyfrowywany przy użyciu klucza drzewa, który jest przechowywany lokalnie na serwerze w celu obsługi automatycznego uruchamiania usługi. Komunikacja między SSO Connect a chmurą Keeper Cloud Security Vault firmy jest chroniona za pomocą klucza transmisji. Komunikacja SAML jest podpisywana kryptograficznie i chroniona algorytmem podpisu RSA-SHA256 lub ECDSA-SHA256 w zależności od typu klucza szyfrowania (RSA lub ECC) dostarczonego przez klienta.
Keeper obsługuje możliwość bezpiecznego udostępniania wpisów między użytkownikami, wewnętrznemu zespołowi lub nawet poza organizacją (jeśli zezwoli na to administrator Keeper).
Użytkownicy Keeper mogą bezpośrednio udostępniać sobie nawzajem wpisy. W tym celu Keeper początkowo żąda klucza publicznego krzywej eliptycznej użytkownika z jego sejfu. Każdy wpis ma klucz wpisu, który jest szyfrowany kluczem publicznym krzywej eliptycznej odbiorcy i synchronizowany z sejfem Keeper użytkownika.
Właściciel zaszyfrowanego udostępnionego wpisu odszyfrowuje klucz wpisu za pomocą swojego klucza prywatnego krzywej eliptycznej. Klucz wpisu zostanie również ponownie zaszyfrowany za pomocą klucza danych użytkownika, a szyfrogram zostanie zapisany w sejfie odbiorcy.
Architektura udostępniania wpisówFunkcja udostępniania jednorazowego Keeper umożliwia ograniczone czasowo, bezpieczne udostępnianie danych – takich jak hasło, poświadczenia, wpis tajny, połączenie, dokument lub inne poufne informacje – dowolnej osobie, nawet jeśli nie posiada ona konta Keeper. Model szyfrowania udostępniania jednorazowego Keeper wykorzystuje tę samą technologię, co Keeper Secrets Manager (KSM) – platformę typu zero-knowledge i zero-trust do zabezpieczania infrastruktury chmury.
Funkcja Administrator udostępniania Keeper to uprawnienie kontroli dostępu opartej na rolach (RBAC), które daje administratorom podwyższone uprawnienia do folderów udostępnionych i wpisów organizacji. Administratorzy udostępniania mają pełne uprawnienia użytkownika i wpisu dla każdego udostępnionego wpisu, do którego mają dostęp.
Administrator udostępnianiaKeeper Secrets Manager (KSM) to platforma typu zero-knowledge dla specjalistów IT i DevOps. Rozwiązanie to umożliwia zespołom zarządzanie wpisami tajnymi w całym cyklu tworzenia i wdrażania oprogramowania.
Model szyfrowania Keeper Secrets ManagerKeeper posiada zarządzaną, niezależną architekturę w usłudze AWS o nazwie BreachWatch. BreachWatch jest fizycznie oddzielony od interfejsu API Keeper i wpisów użytkowników.
Fizyczny sprzętowy moduł bezpieczeństwa (HSM) na serwerach BreachWatch służy do przetwarzania, tworzenia skrótów i przechowywania miliardów unikalnych haseł pochodzących z naruszeń danych w dark webie. Wszystkie hasła są przetwarzane na serwerach Keeper przy użyciu metody tworzenia skrótów HMAC_SHA512. Skróty są tworzone przez HSM przy użyciu klucza, którego nie można eksportować.
Gdy usługa BreachWatch zostaje aktywowana na urządzeniu klienckim, skrót HMAC_SHA512 jest generowany na podstawie każdego wpisu i wysyłany na serwer. Na serwerze tworzony jest drugi skrót przy użyciu HMAC_SHA512 za pośrednictwem HSM przy użyciu klucza, którego nie można eksportować. Skróty skrótów są porównywane, aby sprawdzić, czy poświadczenia zostały naruszone.
Architektura BreachWatch została zbudowana tak, aby zapobiec korelacji złamanego hasła z hasłem w sejfie użytkownika, bez względu na rozmiar naruszenia danych. Wykrywanie złamanych haseł wykorzystuje fizyczny moduł HSM, aby upewnić się, że tworzenie skrótów może być wykonywane tylko online, co pozwala zapobiec atakom siłowym na dane.
BreachWatch jest w 100% tworzony przez Keeper przy użyciu kanałów danych SpyCloud, ale Keeper nigdy nie wysyła żadnych danych stronom trzecim.
Model Keeper BreachWatchKlienci BreachWatch pobierają listę domen, które zostały zaatakowane i sprawdzają je lokalnie.
Urządzenia klienckie łączą się z BreachWatch i przesyłają listę zaszyfrowanych nazw użytkowników (lub haseł) wraz z wybranym przez klienta, losowym identyfikatorem (oddzielne identyfikatory dla usług sprawdzania nazw użytkowników i haseł). Te skróty haseł są przetwarzane podczas przesyłania za pomocą HMAC przy użyciu sprzętowego modułu bezpieczeństwa (HSM) i tajnego klucza przechowywanego w HSM oznaczonego jako nieeksportowalny (co oznacza, że HSM przetworzy HMAC tylko lokalnie, a klucza nie można wyodrębnić). Te dane wejściowe HMAC (nazwy użytkowników lub hasła) są porównywane z zestawami danych naruszeń, które zostały przetworzone przy użyciu tego samego HMAC i klucza. Wszelkie dopasowania są zgłaszane do urządzenia klienckiego. Wszelkie wartości, które nie są zgodne, są przechowywane wraz z anonimowym identyfikatorem klienta.
Gdy nowe naruszone nazwy użytkowników i hasła zostają dodane do systemu, są one przetwarzane za pomocą HMAC na HSM, dodawane do zbioru danych BreachWatch i porównywane z przechowywanymi wartościami klienta. Wszelkie dopasowania ustawiają alert w kolejce dla tego identyfikatora klienta.
Klient okresowo sprawdza BreachWatch i podaje identyfikator BreachWatch. Pobierane są wszystkie wiadomości, a klient przesyła nowe lub zmienione nazwy użytkowników i hasła, które zostaną poddane temu samemu procesowi.
Bezpieczeństwo BreachWatch jest oparte na modelu TOFU (Zaufanie przy pierwszym użyciu). Oznacza to, że klienci muszą przyjąć, że w momencie przesyłania ich zaszyfrowanych wartości, serwer BreachWatch nie jest zaatakowany przez hakerów. Wartości te, po ich przetworzeniu przy użyciu HSM, są zabezpieczane przed zewnętrznymi atakami hakerów. Tak więc, nawet jeśli haker ukradnie zestaw danych zawierający wartości klienta, nie będzie w stanie złamać tych wartości offline bez kodu HMAC przechowywanego w module HSM.
W przypadku wykrycia naruszenia hasła urządzenie klienckie wysyła skrót kombinacji nazwy użytkownika i hasła do serwerów BreachWatch, które następnie wykonują to samo porównanie skrótu HMAC w celu ustalenia, czy kombinacja nazwy użytkownika i hasła została naruszona, a jeśli tak, domeny związane z tymi naruszeniami są zwracane, aby urządzenie klienckie mogło określić, czy nazwa użytkownika + hasło + domena są zgodne. Jeśli wszystkie trzy parametry są zgodne na urządzeniu klienckim, użytkownik jest ostrzegany o istotności naruszenia.
Po aktywacji BreachWatch dla klientów firmowych i korporacyjnych sejfy użytkowników końcowych są skanowane automatycznie za każdym razem, gdy użytkownik loguje się do Keeper. Dane podsumowujące BreachWatch zeskanowane na urządzeniu użytkownika są szyfrowane kluczem publicznym przedsiębiorstwa i odszyfrowywane przez administratora przedsiębiorstwa po zalogowaniu się do Konsoli administratora Keeper. Te zaszyfrowane informacje obejmują adres e-mail, liczbę wpisów wysokiego ryzyka, liczbę rozwiązanych wpisów i liczbę zignorowanych wpisów. Administrator Keeper może przeglądać statystyki podsumowujące na poziomie użytkownika w interfejsie użytkownika Konsoli administratora.
Po zintegrowaniu z modułem Zaawansowane raportowanie i ostrzeżenia urządzenia użytkowników końcowych Keeper mogą być również opcjonalnie skonfigurowane do przesyłania szczegółowych zdarzeń w czasie rzeczywistym do rozwiązań SIEM innych firm i interfejsu raportowania Konsoli administratora Keeper. Dane zdarzenia zawierają adres e-mail, identyfikator UID wpisu, adres IP i informacje o urządzeniu (zdarzenia nie zawierają żadnych odszyfrowanych danych wpisu, ponieważ Keeper jest platformą zero-knowledge i nie może odszyfrować danych użytkownika).
Domyślnie szczegółowe dane zdarzeń BreachWatch nie są wysyłane do modułu Zaawansowane raportowanie i ostrzeżenia ani do żadnych podłączonych zewnętrznych systemów rejestrowania. Aby aktywować raportowanie danych BreachWatch na poziomie zdarzeń do modułu Zaawansowane raportowanie i ostrzeżenia, należy włączyć zasady egzekwowania roli zdarzenia na ekranie określona rola > Zasady egzekwowania > Funkcje sejfu. Po aktywacji urządzenia klienckie użytkowników końcowych zaczną wysyłać te dane zdarzeń. Ponieważ integracja z rozwiązaniami SIEM innych firm jest przesyłana z zaplecza Keeper do docelowego SIEM, te informacje o zdarzeniach są odczytywane przez docelowy SIEM i mogą zostać wykorzystane do zidentyfikowania, które wpisy i którzy użytkownicy w organizacji mają hasła wysokiego ryzyka. Jeśli administrator Keeper nie chce przesyłać danych zdarzeń na poziomie rekordów do modułu Zaawansowane raportowanie i ostrzeżenia Keeper, ustawienie to można pozostawić wyłączone.
Tryb offline umożliwia użytkownikom dostęp do sejfu, gdy nie mogą połączyć się online z Keeper lub swoim dostawcą tożsamości SSO. Ta funkcja jest dostępna w aplikacji mobilnej Keeper, aplikacji komputerowej i sejfie internetowym we wszystkich przeglądarkach.
Funkcja ta działa poprzez utworzenie kopii sejfu na lokalnym urządzeniu użytkownika. Przechowywane offline dane sejfu są szyfrowane AES-GCM za pomocą 256-bitowego „klucza klienta”, który jest generowany losowo i chroniony przez PBKDF2-HMAC-SHA512 z 1 000 000 iteracjami i losową solą. Sól i iteracje są przechowywane lokalnie. Gdy użytkownik wprowadza swoje hasło główne lub używa danych biometrycznych, klucz jest wyprowadzany przy użyciu soli i iteracji oraz podejmowana jest próba odszyfrowania klucza klienta. Klucz klienta jest następnie używany do odszyfrowania przechowywanej pamięci podręcznej wpisów. Jeśli w sejfie użytkownika włączona jest ochrona przed autodestrukcją, 5 nieudanych prób logowania spowoduje automatyczne wyczyszczenie wszystkich lokalnie przechowywanych danych sejfu. W przypadku klientów biznesowych dostęp offline może zostać ograniczony na podstawie zasad egzekwowania ról przez administratora Keeper.
Plany indywidualne i rodzinne Keeper pozwalają użytkownikom na dodanie do pięciu kontaktów awaryjnych w celu przyznania dostępu do sejfu w przypadku śmierci użytkownika lub innej sytuacji awaryjnej. Użytkownik określa czas oczekiwania, a po jego upływie kontakt awaryjny uzyska dostęp do sejfu użytkownika. Udostępnianie sejfu osobie kontaktowej w nagłych wypadkach odbywa się na zasadzie zero knowledge, a hasło główne użytkownika nigdy nie jest udostępniane. Ponadto używane jest 2048-bitowe szyfrowanie RSA z 256-bitowym kluczem AES. Kontakt awaryjny musi mieć konto Keeper, aby zaakceptować informacje.
Funkcja dostępu awaryjnegoKeeper korzysta z usług AWS w Ameryce Północnej (w chmurze komercyjnej lub GovCloud), Europie, Australii, Japonii i Kanadzie w celu zapewnienia zlokalizowanej prywatności danych i izolacji geograficznej, aby hostować i obsługiwać rozwiązania i architekturę Keeper. Wykorzystanie usług AWS pozwala firmie Keeper płynnie skalować zasoby na żądanie i zapewniać klientom najszybsze i najbezpieczniejsze środowisko przechowywania danych w chmurze. Keeper obsługuje zarówno środowiska wielostrefowe, jak i wieloregionalne, aby zmaksymalizować czas działania i zapewnić klientom najszybszy czas reakcji. Klienci korporacyjni mogą hostować swoją dzierżawę Keeper w dowolnym preferowanym regionie podstawowym. Dane klientów i dostęp do platformy są izolowane do tego konkretnego regionu.
Keeper stworzył zaawansowany model uwierzytelniania w chmurze i komunikacji sieciowej, który został zbudowany z myślą o najwyższym poziomie prywatności, bezpieczeństwa i zaufania. Poniżej przedstawiono kilka kluczowych cech tego modelu uwierzytelniania:
Sejf Keeper Cloud Security Vault jest chroniony przez interfejsy API, które są weryfikowane poprzez autoryzację przez urządzenie klienckie. Klient pobiera token sesji podczas logowania i wysyła go przy każdym wywołaniu API. Token sesji jest śledzony na serwerze. Logowanie odbywa się za pomocą hasła głównego, wznowienia sesji lub uwierzytelniania SSO SAML 2.0.
W przypadku korzystania z hasła głównego urządzenie klienckie uzyskuje 256-bitowy klucz uwierzytelniający przy użyciu PBKDF2-HMAC_SHA256 z 1 000 000 iteracjami i 128-bitową losową solą. „Skrót uwierzytelniający” jest tworzony przez mieszanie klucza uwierzytelniającego przy użyciu SHA-256. Podczas logowania skrót uwierzytelniający jest porównywany z zapisanym skrótem uwierzytelniającym w sejfie Keeper. Po zalogowaniu się użytkownika na serwerze tworzony jest token sesji, który jest wysyłany do użytkownika i wykorzystywany przez urządzenie w kolejnych żądaniach API. Aby umożliwić ciągłe korzystanie z komunikacji klient-serwer, sesja musi być aktywna.
Keeper wykorzystuje 256-bitowy i 128-bitowy protokół TLS w celu szyfrowania wszystkich danych przesyłanych między aplikacją kliencką a magazynem w chmurze Keeper.
Keeper wdraża certyfikaty TLS podpisane przez DigiCert przy użyciu algorytmu SHA2, najbezpieczniejszego algorytmu podpisu oferowanego obecnie przez komercyjne urzędy certyfikacji. SHA2 jest znacznie bezpieczniejszy niż powszechnie stosowany SHA1, który może zostać wykorzystany ze względu na słabość matematyczną zidentyfikowaną w algorytmie. SHA2 pomaga chronić przed wydawaniem fałszywych certyfikatów, które mogłyby zostać wykorzystane przez atakującego do podszycia się pod stronę internetową.
Keeper obsługuje również tzw. przejrzystość certyfikatów (Certificate Transparency – CT), która jest nową inicjatywą Google mającą na celu stworzenie dostępnego powszechnie spisu certyfikatów podpisanego przez urzędy certyfikacji. Przejrzystość certyfikatów ma pomagać w zapobieganiu wydawaniu certyfikatów przez nieupoważnione do tego podmioty i w chwili obecnej jest obsługiwana przez najnowsze wersje przeglądarek Chrome, Safari i Brave. Więcej informacji na temat przejrzystości certyfikatów można znaleźć na stronie internetowej: https://certificate.transparency.dev/. Keeper obsługuje następujące zestawy szyfrów TLS:
Urządzenia klienckie Keeper z systemami iOS i Android wdrażają również przypisanie kluczy, czyli mechanizm bezpieczeństwa, który zapobiega podszywaniu się pod osoby atakujące przy użyciu fałszywych certyfikatów cyfrowych.
Sejf internetowy Keeper stosuje restrykcyjną politykę w zakresie bezpieczeństwa zawartości, która ogranicza źródło żądań wychodzących i zapobiega wykonywaniu wszystkich skryptów, z wyjątkiem tych, których źródłem jest Keeper, w tym skryptów wbudowanych i atrybutów HTML obsługujących zdarzenia. Tym samym ogranicza się lub eliminuje większość wektorów dla ataków XSS.
Dostęp do nazw domen Keeper jest ograniczony do protokołu HTTPS z TLS 1.3 i jest egzekwowany przez HTTP Strict Transport Security. Zapobiega to szerokiej gamie prób podsłuchiwania pakietów, modyfikacji danych i atakom typu man-in-the-middle.
W ramach rozszerzenia przeglądarki Keeper użytkownicy nie będą otrzymywać monitów logowania do swoich sejfów Keeper w obszarze ramki strony. Logowanie do rozszerzenia odbywa się w obszarze paska zadań rozszerzenia przeglądarki w danej przeglądarce. Logowanie do sejfu w przeglądarce internetowej zawsze przebiega w domenie keepersecurity.com, keepersecurity.eu, keepersecurity.com.au, keepersecurity.jp, keepersecurity.ca lub govcloud.keepersecurity.us, bądź z paska narzędzi rozszerzenia przeglądarki Keeper, który nie jest częścią strony zawartości.
Rozszerzenie przeglądarki Keeper umieszcza ramkę iFrame w formularzach logowania na stronie internetowej, aby zapewnić, że żadna złośliwa witryna nie będzie miała dostępu do wstrzykniętej zawartości. Treść wpisów wstrzykiwana do ramek iFrame jest również ograniczona do wpisów sejfu przechowywanych w sejfie użytkownika, które odpowiadają domenie strony docelowej. Keeper nie będzie oferował automatycznego uzupełniania danych logowania lub hasła, jeśli domena strony nie będzie zgodna z polem domeny strony we wpisie sejfu Keeper. Rozszerzenie nie będzie wyświetlać wpisów, jeśli nie są one zgodne z domeną główną adresu strony internetowej.
Zewnętrzne rozszerzenia przeglądarki mogą posiadać wyższe uprawnienia w przeglądarkach internetowych i uzyskiwać dostęp do informacji na danej stronie. Z tego powodu zaleca się, by administratorzy Keeper uniemożliwili użytkownikom instalowanie niezatwierdzonych zewnętrznych rozszerzeń przeglądarki ze sklepów z aplikacjami.
Keeper natywnie obsługuje Windows Hello, Touch ID, Face ID i biometrię w systemie Android. Klienci, którzy normalnie logują się do swojego sejfu Keeper za pomocą hasła głównego lub loginu SSO przedsiębiorstwa (SAML 2.0), mogą również logować się do swoich urządzeń za pomocą danych biometrycznych. Dane biometryczne muszą zostać włączone przez administratora Keeper w zasadach ról. Dostęp offline można również uzyskać za pomocą danych biometrycznych zarówno w przypadku hasła głównego, jak i użytkowników korzystających z logowania SSO, gdy ta funkcja jest włączona.
Gdy logowanie biometryczne jest włączone na urządzeniu, klucz jest generowany losowo lokalnie i przechowywany w bezpiecznej enklawie (np. w pęku kluczy lub magazynie kluczy) urządzenia. Klucz danych użytkownika jest szyfrowany za pomocą klucza biometrycznego. Po pomyślnym uwierzytelnieniu biometrycznym klucz jest pobierany, a użytkownik może odszyfrować swój sejf.
Funkcje Touch ID i Face ID na urządzeniach z systemem iOS umożliwiają użytkownikom dostęp do sejfu Keeper za pomocą danych biometrycznych. Aby zapewnić tę wygodną funkcję, losowo wygenerowany 256-bitowy ‚klucz biometryczny” jest przechowywany w pęku kluczy iOS. Element pęku kluczy iOS utworzony dla tej funkcji nie jest przeznaczony do synchronizacji z pękiem kluczy iCloud, a zatem nie opuści Twojego urządzenia mobilnego z systemem iOS.
Zdecydowanie zaleca się używanie złożonego hasła głównego i włączenie uwierzytelniania wieloskładnikowego w celu zapewnienia maksymalnego bezpieczeństwa zaszyfrowanego sejfu Keeper. Korzystanie z funkcji Touch ID i Face ID sprawia, że wygodniej jest używać złożonego hasła głównego na urządzeniu mobilnym z systemem iOS. Zaleca się również ustawienie hasła dłuższego niż minimalne 4 cyfry w celu zabezpieczenia pęku kluczy iOS.
Pęk kluczy iOS jest używany przez system iOS i aplikacje do bezpiecznego przechowywania danych uwierzytelniających. Aplikacje iOS używają pęku kluczy iOS do przechowywania różnych poufnych informacji, w tym haseł do stron internetowych, kluczy, numerów kart kredytowych i danych Apple Pay. Keeper nie używa pęku kluczy iOS do przechowywania Twoich danych Keeper – wszystkie dane Keeper są chronione 256-bitowym szyfrowaniem AES i bezpiecznie przechowywane w sejfie Keeper. Pęk kluczy iOS jest również szyfrowany 256-bitowym szyfrowaniem AES przy użyciu kodu urządzenia. Nawet jeśli urządzenie zostanie zgubione lub skradzione albo osoba atakująca uzyska fizyczny dostęp do urządzenia mobilnego, nie będzie w stanie uzyskać dostępu do żadnych przechowywanych informacji Keeper. Pęk kluczy iOS nie może zostać odszyfrowany bez kodu dostępu, a sejf Keeper nie może zostać odszyfrowany bez hasła głównego Keeper użytkownika.
Funkcja ulubionych na zegarku Apple Watch umożliwia wyświetlanie wybranych wpisów na sparowanym zegarku. Wpisy aplikacji Keeper muszą zostać jednoznacznie oznaczone w celu wyświetlania na zegarku Apple Watch. Sparowany zegarek Apple Watch komunikuje się z rozszerzeniem Keeper dla zegarka działającym transparentnie w przestrzeni piaskownicy, która jest niezależna od aplikacji Keeper dla systemu iOS. Rozszerzenie Keeper dla zegarka używa także pęku kluczy systemu iOS w celu bezpiecznego przechowywania i uzyskiwania dostępu do kluczy, aby umożliwić płynną i bezpieczną komunikację z aplikacją Keeper dla systemu iOS.
Keeper DNA zapewnia metodę uwierzytelniania wieloskładnikowego przy użyciu inteligentnego zegarka (smartwatcha). Keeper DNA wykorzystuje bezpieczne tokeny przechowywane w Keeper Vault do generowania kodów czasowych do uwierzytelniania wieloskładnikowego. Te czasowe żądania uwierzytelnienia mogą być zatwierdzane i wysyłane automatycznie z Apple Watch (lub urządzenia Android Wear) poprzez dotknięcie ekranu zegarka lub wprowadzane ręcznie przez użytkownika.
Gdy zasady transferu kont są aktywowane dla węzła, zasady węzła dla pary kluczy publicznego/prywatnego są tworzone w Konsoli administratora na urządzeniu użytkownika. Klucz danych użytkownika końcowego – dla użytkowników w roli, do której stosowane jest egzekwowanie – jest szyfrowany kluczem publicznym zasad, gdy użytkownik loguje się do sejfu. Klucz prywatny jest szyfrowany za pomocą klucza publicznego administratora, a administrator może następnie odszyfrować klucz egzekwowania roli za pomocą transferu sejfu.
Podczas transferu sejfu administrator Keeper musi najpierw zablokować konto użytkownika. Transfer sejfu może nastąpić natychmiast, po czym konto użytkownika zostanie usunięte. Dzięki temu operacja nie jest wykonywana w tajemnicy. Podczas transferu klucz danych użytkownika jest pobierany poprzez rozpakowanie klucza prywatnego egzekwowania ról, a następnie rozpakowanie klucza danych użytkownika. Klucz danych jest używany do rozpakowywania kluczy wpisów, kluczy zespołów i kluczy folderów.
Całe szyfrowanie odbywa się po stronie klienta w Konsoli administratora i w żadnym momencie Keeper nie ma możliwości odszyfrowania udostępnianych lub przesyłanych informacji. Ponadto w żadnym momencie klucz danych klienta użytkownika nie jest udostępniany. Użytkownik, który zostanie usunięty z zespołu, folderu udostępnionego lub udziału bezpośredniego, nie otrzyma nowych danych z zespołu, folderu udostępnionego lub wpisu. Chociaż klucze wpisów, folderów i zespołów są odszyfrowywane lokalnie dla administratora podczas transakcji, klucze te nie mogą być używane do uzyskania dostępu do bazowych danych wpisów lub folderów.
Podczas transferu sejfu administrator otrzymuje tylko zaszyfrowany klucz danych, zaszyfrowane klucze wpisów i zaszyfrowane klucze folderów. Odszyfrowuje te klucze, które są następnie ponownie szyfrowane za pomocą klucza publicznego sejfu docelowego. Nigdy nie uzyskują dostępu do rzeczywistych danych wpisu. Keeper nie szyfruje bezpośrednio danych przechowywanych przez klienta za pomocą klucza danych – odbywa się to na urządzeniu.
Likwidowanie kont pracownikówKeeper bardzo poważnie podchodzi do kwestii bezpieczeństwa. Keeper to najbezpieczniejsze oraz najbardziej certyfikowane, przetestowane i audytowane rozwiązanie do zabezpieczania haseł i platforma do zarządzania dostępem uprzywilejowanym na świecie. Keeper najdłużej o w branży posiada certyfikaty SOC 2 i ISO. Keeper otrzymał certyfikaty ISO ISO 27001, 27017 i 27018. Keeper jest zgodny z RODO, CCPA, HIPAA, FedRAMP i StateRAMP, PCI DSS i TrustArc w zakresie ochrony prywatności.
Keeper wykorzystuje moduły szyfrowania z certyfikatem FIPS 140-2, aby spełnić rygorystyczne wymogi bezpieczeństwa sektora rządowego i publicznego. Szyfrowanie Keeper zostało certyfikowane przez NIST Cryptographic Module Validation Program (CMVP) i zweryfikowane zgodnie ze standardem FIPS 140 przez akredytowane laboratoria zewnętrzne.
Keeper otrzymał certyfikat nr 3976 w ramach programu CMVP NIST
Keeper Security Government Cloud (KSGC) zapewnia zgodność z amerykańskimi przepisami dotyczącymi międzynarodowego obrotu bronią (ITAR). Firmy podlegające przepisom eksportowym ITAR muszą kontrolować niezamierzony eksport, ograniczając dostęp do chronionych danych do obywateli USA i ograniczając fizyczną lokalizację chronionych danych do USA.
Środowisko KSGC FedRAMP na poziomie umiarkowanym spełnia wymagania ITAR dzięki następującym działaniom:
Środowisko FedRAMP firmy Keeper zostało poddane audytowi przez niezależną zewnętrzną organizację oceniającą (3PAO) w celu potwierdzenia, że istnieją odpowiednie mechanizmy kontrolne wspierające programy zgodności z przepisami eksportowymi klientów, i będzie nadal poddawane corocznym audytom w celu utrzymania zgodności.
Więcej informacji na temat ITAR.
KSGC to platforma Keeper Security do zarządzania hasłami i cyberbezpieczeństwa dla organizacji sektora publicznego. KSGC jest autoryzowanym dostawcą FedRAMP na poziomie umiarkowanego wpływu, hostowanym w chmurze AWS GovCloud (USA). KSGC można znaleźć w wykazie FedRAMP Marketplace.
Federal Risk and Authorization Management Program (FedRAMP) to program rządu federalnego USA, który zapewnia znormalizowane podejście do oceny bezpieczeństwa, autoryzacji i ciągłego monitorowania produktów i usług w chmurze. FedRAMP ma na celu przyspieszenie wdrażania nowoczesnych rozwiązań opartych na chmurze przez agencje rządowe, z naciskiem na bezpieczeństwo i ochronę informacji federalnych. Dowiedz się więcej o FedRAMP.
Program StateRAMP został opracowany około dziesięć lat po programie FedRAMP w celu zachęcenia do wdrażania bezpiecznych rozwiązań opartych na chmurze na poziomie władz stanowych i lokalnych. Uzyskanie autoryzacji StateRAMP to zwykle dwuletni proces, który został usprawniony dzięki programowi wzajemności dzięki autoryzacji FedRAMP firmy Keeper.
Wpisy w sejfach klientów są chronione przy użyciu rygorystycznych i ściśle monitorowanych praktyk kontroli wewnętrznej. Keeper od ponad dziesięciu lat posiada zgodność z SOC 2 Type 2 zgodnie z wytycznymi Service Organization Control instytutu AICPA. Zgodność z SOC 2 pomaga zapewnić bezpieczeństwo sejfów użytkowników poprzez wdrożenie standardowych mechanizmów kontroli określonych w zasadach Trust Service Principles stworzonych przez instytut AICPA.
Keeper posiada certyfikaty ISO ISO 27001, 27017 i 27018 obejmujące system zarządzania informacjami Keeper Security i infrastrukturę chmury, która obsługuje platformę Keeper Enterprise. Certyfikaty ISO firmy Keeper obejmują zarządzanie i obsługę sejfu cyfrowego i usług w chmurze, kontrolę bezpieczeństwa w chmurze, kontrolę prywatności danych, rozwój oprogramowania i aplikacji oraz ochronę zasobów cyfrowych dla sejfu cyfrowego i usług w chmurze.
Keeper jest zgodny z przepisami 21 CFR część 11, które dotyczą naukowców pracujących w środowiskach podlegających ścisłym regulacjom, w tym badaczy prowadzących badania kliniczne. Rozporządzenie to określa kryteria FDA, zgodnie z którymi zapisy i podpisy elektroniczne są uznawane za godne zaufania, wiarygodne i równoważne zapisom papierowym z podpisami odręcznymi. W szczególności naukowcy muszą zapewnić, że całe oprogramowanie, którego używają, jest zgodne z przepisami 21 CFR część 11 w następującym zakresie:
Kontrole bezpieczeństwa w zakresie identyfikacji użytkowników – Keeper spełnia wymagania przepisów 21 CFR część 11 w zakresie zabezpieczeń ograniczających dostęp użytkowników i ich uprawnienia, w tym zapewnienia, że wszyscy użytkownicy posiadają unikatowe nazwy użytkownika i hasła, możliwości wykrywania i zapobiegania nieautoryzowanemu dostępowi do systemu oraz możliwości blokowania zagrożonych kont.
Podczas inspekcji FDA organy regulacyjne wymagają od badaczy przedstawienia ścieżki audytu zawierającej chronologiczny zapis wszystkich operacji. Funkcje raportowania zgodności Keeper umożliwiają badaczom łatwe tworzenie identyfikowalnych elektronicznych ścieżek audytu.
Kiedy dokument wymaga prawnie wiążącego podpisu elektronicznego, przepisy 21 CFR część 11 wymagają, aby podpis był dołączony do unikatowego loginu i hasła lub identyfikacji biometrycznej. Keeper obsługuje to wymaganie, umożliwiając badaczom zapewnienie, że wszyscy użytkownicy posiadają unikatowe nazwy użytkowników i hasła, bezpiecznie przechowywane w cyfrowym sejfie, do którego dostęp ma tylko użytkownik.
Więcej informacji na temat przepisów 21 CFR Part 11 można znaleźć tutaj.
Oprogramowanie Keeper jest zgodne ze światowymi standardami ochrony danych medycznych, w tym m.in. ustawy HIPAA (Health Insurance Portability and Accountability Act) oraz DPA (Data Protection Act).
Keeper to platforma bezpieczeństwa zero-knowledge z certyfikatami SOC2 i ISO 27001, która jest zgodna z HIPAA. Przestrzegane są ścisłe zasady w zakresie prywatności, poufności, integralności i dostępności i prowadzone są kontrole w tym zakresie. Dzięki takiej architekturze bezpieczeństwa Keeper nie ma możliwości odszyfrowania, ani uzyskania podglądu i dostępu do informacji, w tym do poufnej dokumentacji medycznej przechowywanej w sejfie Keeper użytkownika. Keeper nie jest partnerem biznesowym według definicji przedstawionej w ustawie HIPAA, dlatego też nie podlega umowie partnerstwa biznesowego (BAA).
by dowiedzieć się więcej na temat dodatkowych korzyści dla podmioty świadczących opiekę zdrowotną i ubezpieczycieli w zakresie ochrony zdrowia, przeczytaj cały dokument: Informacje dot. bezpieczeństwa i zapoznaj się z naszym Przewodnikiem dla przedsiębiorstw.
Keeper Security EMEA Limited posiada certyfikat Hellios Financial Services Qualification System-Netherlands (FSQS-NL), który uznaje najwyższe standardy w zakresie bezpieczeństwa, jakości i innowacji w Holandii. Standard ten wykazuje zgodność z Financial Conduct Authority i Prudential Regulation Authority, aby zapewnić wiarygodność oprogramowania Keeper Enterprise dla dużych banków i instytucji finansowych.
Keeper jest certyfikowany przez Biuro Przemysłu i Bezpieczeństwa Departamentu Handlu Stanów Zjednoczonych pod numerem kontrolnym klasyfikacji towarów eksportowych 5D992, zgodnie z przepisami eksportowymi (Export Administration Regulations, EAR).
Aby uzyskać więcej informacji na temat przepisów EAR: https://www.bis.doc.gov
Keeper jest zdalnie monitorowany 24 godziny na dobę, 7 dni w tygodniu przez niezależną sieć monitorującą o światowym zasięgu, aby zapewnić dostęp do naszej strony oraz usługi Cloud Security Vault na całym świecie.
Jeżeli masz pytania pytania związane z tymi informacjami dotyczącymi bezpieczeństwa, skontaktuj się z nami.
Jeśli otrzymasz wiadomość e-mail rzekomo wysłaną przez firmę Keeper Security i nie masz pewności, czy jest ona legalna, może to być „wiadomość phishingowa”, w której adres e-mail nadawcy jest sfałszowany lub „podrobiony”. W takim przypadku wiadomość e-mail może zawierać odnośniki do strony, która wygląda jak KeeperSecurity.com, ale nie jest naszą stroną. Strona może prosić Cię o podanie hasła głównego Keeper Security lub próbować zainstalować na Twoim komputerze niechciane oprogramowanie w celu kradzieży Twoich danych osobowych lub uzyskania dostępu do Twojego komputera. Inne wiadomości e-mail zawierają odnośniki, które mogą przekierować Cię na inne potencjalnie niebezpieczne strony internetowe. Wiadomość może również zawierać załączniki, które zazwyczaj zawierają niechciane oprogramowanie zwane „złośliwym oprogramowaniem”. Jeśli nie masz pewności co do wiadomości e-mail otrzymanej w skrzynce odbiorczej, usuń ją bez klikania jakichkolwiek odnośników lub otwierania załączników
Jeśli chcesz zgłosić wiadomość e-mail rzekomo pochodzącą od Keeper, która Twoim zdaniem jest fałszywa, lub masz inne obawy dotyczące bezpieczeństwa związane z innymi sprawami, skontaktuj się z nami.
Strona Keeper oraz chmura danych działają w oparciu o bezpieczną infrastrukturę chmurową Amazon Web Services (AWS). Infrastruktura chmury AWS, na której znajduje się architektura systemu Keeper, posiada udokumentowaną zgodność z raportami, orzeczeniami i certyfikatami następujących stron trzecich:
Celem firmy Keeper Security jest opracowanie najbezpieczniejszego na rynku rozwiązania do zarządzania hasłami i dostępem uprzywilejowanym. Zależy nam na ochronie prywatności i danych osobowych naszych klientów. Misją firmy Keeper jest stworzenie najbezpieczniejszej i najbardziej innowacyjnej platformy bezpieczeństwa na świecie i uważamy, że zgłaszanie błędów przez światową społeczność badaczy bezpieczeństwa ma kluczowe znaczenie dla zapewnienia bezpieczeństwa produktów i usług Keeper.
Keeper przeprowadza szeroko zakrojone testy wewnętrzne i zewnętrzne, w tym testy penetracyjne wykonywane przez NCC Group i CyberTest z pełnym dostępem do kodu źródłowego. Keeper prowadzi swój program ujawniania luk we współpracy z Bugcrowd. Wszystko to przynosi to korzyści całej branży, a ponadto wspiera dobro społeczne.
Polityka Keeper w zakresie ujawniania luk w zabezpieczeniach określa nasze oczekiwania podczas pracy z hakerami działającymi w dobrej wierze oraz precyzuje, czego możesz spodziewać się od nas.
Jeśli testy bezpieczeństwa i raportowanie są przeprowadzane zgodnie z wytycznymi niniejszych zasad:
Jeśli w dowolnym momencie będziesz mieć obawy lub wątpliwości dotyczące testowania w sposób zgodny z wytycznymi i zakresem niniejszych zasad, skontaktuj się z nami pod adresem security@keepersecurity.com przed przejściem dalej.
Aby zachęcać do testowania zabezpieczeń i ujawniania w dobrzej wierze odkrytych luk, oczekujemy, że:
Prosimy o przesyłanie raportów za pośrednictwem strony: https://bugcrowd.com/keepersecurity
Keeper jest nie tylko zaangażowany w kwestie bezpieczeństwa, jest wręcz fanatykiem w tej kwestii. Dlatego udostępniamy publicznie każdy szczegół naszego modelu szyfrowania. Wierzymy, że nasi klienci zasługują na to, by znać każdy krok, jaki podejmujemy w celu zapewnienia bezpieczeństwa ich danych w obliczu stale zmieniającego się krajobrazu cyberbezpieczeństwa.
Model szyfrowania typu zero-trust i zero-knowledge firmy Keeper gwarantuje, że nawet w najgorszym scenariuszu Twój sejf Keeper będzie chroniony, a my nieustannie przeprowadzamy testy bezpieczeństwa, aby mieć pewność, że pozostajemy najlepszym rozwiązaniem do ochrony Twoich najcenniejszych danych.
Portal z dokumentacją Keeper, zawierający instrukcje obsługi produktu, informacje techniczne, informacje o wersji i przewodniki dla użytkownika, jest dostępny pod tym adresem.
Aby zwiększyć przejrzystość, Keeper publikuje szczegółowe informacje o wydaniu dla każdej platformy.
Status systemów można sprawdzić w czasie rzeczywistym tutaj.