close

Keeper is uitermate gepassioneerd als het gaat om het beschermen van uw informatie

Keeper maakt gebruik van eersteklas beveiliging om uw informatie te beschermen en het risico op gegevenslekken te minimaliseren.

Keeper's toonaangevende beveiliging

Eigen hoofdwachtwoord

ALLEEN de gebruiker is op de hoogte van en heeft toegang tot het hoofdwachtwoord en de sleutel die wordt gebruikt om informatie te versleutelen en ontcijferen.

Diepgaande versleuteling

Gebruikersgegevens worden op apparaatniveau versleuteld en ontsleuteld, niet op de servers van Keeper of in de cloud.

Sterkste versleuteling

Keeper beschermt uw informatie met 256-bits AES-versleuteling en PBKDF2, wat algemeen wordt erkend als de sterkste vorm van versleuteling die beschikbaar is.

Multi-factor-authenticatie

Keeper ondersteunt multi-factor-authenticatie, biometrische aanmelding en Keeper DNA, wat gebruikmaakt van Apple Watch of Android Wear om uw identiteit te bevestigen.

Veilige/betrouwbare cloud-kluis

Keeper gebruikt Amazon AWS op meerdere geografische locaties en architectuur om de Keeper-vault te hosten en laten werken, om zo klanten de snelste en veiligste opslag in de cloud te bieden. Gegevens in ruste en onderweg worden volledig geïsoleerd in een internationaal datacenter naar voorkeur van de klant.

Overzicht

Keeper Security, Inc. (KSI) richt zich sterk op de bescherming van de informatie van klanten met Keeper beveiligingssoftware voor mobiel en desktop. Miljoenen klanten en bedrijven vertrouwen erop dat Keeper hun wachtwoorden en privé-informatie beveiligt en toegankelijk houdt.

Keeper's software wordt doorlopend verbeterd en bijgewerkt om klanten te voorzien van de nieuwste technologie en bescherming. Op deze pagina vindt u een overzicht van Keepers beveiligingsarchitectuur, versleutelingsmethoden en hostingomgeving, in de vorm van de momenteel gepubliceerde versie. Een overzicht van de technische details in verband met onze versleutelings- en beveiligingsmethoden wordt in dit document beschreven.

Ons privacybeleid en onze gebruiksvoorwaarden zijn beschikbaar op onze website via de volgende koppelingen:

Gegevensbeveiliging

KSI is een zero-knowledge beveiligingsprovider. De Keeper-gebruiker is de enige persoon die de volledige controle heeft over de versleuteling en ontcijfering van zijn of haar gegevens. Met Keeper vindt versleuteling plaats op het niveau van het gebruikersapparaat en via het volledige transportproces vanaf de gebruikersapp naar Keeper's Cloud Security Vault. De encryptiesleutel die nodig is voor de ontcijfering van gegevens, is altijd in handen van de Keeper-gebruiker. KSI kan de opgeslagen gegevens van de gebruiker niet ontcijferen.

KSI heeft geen toegang tot het hoofdwachtwoord van de gebruiker en KSI heeft evenmin toegang tot de records die zijn opgeslagen in de Keeper-kluis. KSI heeft geen externe toegang tot het apparaat van een klant en kan ook de kluis van de klant niet ontcijferen. De enige informatie waar Keeper Security toegang tot heeft, is het e-mailadres van een gebruiker, het apparaattype en abonnementsgegevens (bijv. Keeper Unlimited). Als het apparaat van een gebruiker verloren raakt of wordt gestolen, kan KSI helpen bij het toegang krijgen tot versleutelde back-upbestanden om de kluis van de gebruiker te herstellen zodra het apparaat is vervangen.

Informatie die is opgeslagen en wordt benaderd vanuit Keeper, is alleen toegankelijk voor de klant omdat deze direct wordt versleuteld en weer wordt ontcijferd op het gebruikte apparaat - zelfs bij gebruik van de Keeper-app. De methode van versleuteling die Keeper gebruikt is een bekend, vertrouwd algoritme dat AES (Advanced Encryption Standard) wordt genoemd en een 256-bits sleutellengte heeft. Volgens de publicatie CNSSP-15 van het Comité voor Nationale Veiligheidssystemen is AES met 256-bits sleutellengte voldoende veilig om vertrouwelijke gegevens te versleutelen, tot aan UITERST VERTROUWELIJKE gegevens van de Amerikaanse overheid toe.

De versleutelingsreeksen die worden gebruikt om klantenrecords te versleutelen en ontcijferen worden niet opgeslagen in of overgedragen aan Keeper's Cloud Security Vault. Let op, om synchronisatiemogelijkheden tussen meerdere apparaten mogelijk te maken, wordt een versleutelde versie van de versleutelingsreeks opgeslagen in de Cloud Security Vault en verstrekt aan de apparaten via de gebruikersaccount. Deze versleutelingsreeks kan alleen worden ontcijferd op het apparaat voor nader gebruik als encryptiesleutel.

Gegevensbeveiliging

Sterk hoofdwachtwoord

We raden u ten zeerste aan een sterk hoofdwachtwoord te kiezen voor uw Keeper-account. Gebruik dit hoofdwachtwoord bij voorkeur niet buiten Keeper. Gebruikers mogen hun hoofdwachtwoord nooit met iemand anders delen.

Twee-factor-authenticatie

Om te beschermen tegen ongeautoriseerde toegang tot uw kluis, websites en applicaties, biedt Keeper ook twee-factor-authenticatie aan. Twee-factor-authenticatie is een benadering van authenticatie waarbij twee of meer van de drie authenticatiefactoren nodig zijn: een kennisfactor, een bezitsfactor en een inherentiefactor. Voor meer informatie over twee-factor-authenticatie, zie deze link.

Keeper gebruikt iets wat u weet (uw wachtwoord) en iets dat u hebt (de telefoon in uw bezit) om gebruikers extra beveiliging te bieden in geval uw hoofdwachtwoord of apparaat wordt gecompromitteerd. Om dit te doen, genereren we TOTP's (Time-based One-Time Passwords).

Keeper genereert een 10-bytes geheime sleutel via een cryptografisch veilige willekeurige nummergenerator. Deze code is ongeveer een minuut geldig en wordt via sms Duo Security, RSA SecurID, TOTP-applicatie, Google Authenticator of Keeper DNA-compatibele wearable apparaten zoals de Apple Watch of een Android Wear-apparaat naar de gebruiker gestuurd.

Bij gebruik van de Google Authenticator of TOTP-applicatie op uw mobiele apparaat, genereert de Keeper-server intern een QR-code met uw geheime sleute, en deze wordt nooit gecommuniceerd naar een derde partij. Telkens als een gebruiker twee-factor-authenticatie deactiveert en vervolgens opnieuw activeert, wordt een nieuwe geheime sleutel gegenereerd.

Om twee-factor-authenticatie te activeren, gaat u naar Keeper DNA of het instellingenscherm van de Keeper Web App. Gebruikers van Keeper Business kunnen optioneel het gebruik van twee-factor-authenticatie afdwingen voor aanmelding bij de kluis en ondersteunde 2FA-methoden via de rolafdwingingsfunctionaliteit van de Keeper Admin Console.

FIDO (U2F)-beveiligingssleutels

Keeper ondersteunt FIDO-compatibele U2F hardwarematige beveiligingssleutels zoals YubiKey als tweede factor. Beveiligingssleutels bieden een handige manier om twee-factor-authenticatie uit te voeren zonder dat de gebruiker handmatig 6-cijferige codes moet invoeren. U kunt meerdere beveiligingssleutels configureren voor een gebruikerskluis. Voor platforms die geen beveiligingssleutelapparaten ondersteunen, kunnen gebruikers terugvallen op andere geconfigureerde 2FA-methoden. Om een beveiligingssleutel te configureren en andere twee-factor-authenticatiemethoden, bezoekt u het instellingenscherm van de Keeper-app.

Noodtoegang (digitaal erfgoed)

Keeper ondersteunt de mogelijkheid om tot 5 noodcontacten toe te voegen om kluistoegang te verlenen in geval van nood of overlijden. Zodra een bepaalde wachttijd is vertreken, krijgt het noodcontact toegang tot de kluis van de gebruiker. Het proces van een kluis delen is zero-knowledge, en het hoofdwachtwoord van de gebruiker wordt nooit rechtstreeks gedeeld. RSA-versleuteling wordt gebruikt om een 256-bits AES-sleutel te delen met het noodcontact na afloop van de wachttijd die is ingesteld door de oorspronkelijke gebruiker. Het noodcontact moet daarom een Keeper-account hebben (en een betaalde openbare/particuliere RSA-sleutel) om de uitnodiging te accepteren.

Accountherstel

Tijdens de registratie voor een account wordt aan gebruikers gevraagd om een beveiligingsvraag en -antwoord te selecteren. Eveneens tijdens de registratie genereert Keeper een gegevenssleutel die wordt gebruikt om de recordsleutels die worden opgeslagen met elke kluisrecord te versleutelen en ontcijferen. De gegevenssleutel van de gebruiker is versleuteld met het hoofdwachtwoord en elke recordsleutel is versleuteld met de gegevenssleutel. Elke record in de kluis van de gebruiker heeft afzonderlijke, verschillende recordsleutels.

Bij accountherstel wordt een tweede exemplaar van de gegevenssleutel van de gebruiker versleuteld met de geselecteerde beveiligingsvraag en -antwoord. De gebruiker moet voor een volledig kluisherstel een verificatiecode per e-mail invoeren en ook de twee-factor-authenticatiecode (indien ingeschakeld voor de account). We raden u aan om een sterke beveiligingsvraag en -antwoord samen te stellen, en Keeper's twee-factor-authenticatiefunctie in te schakelen vanuit het instellingenscherm. Twee-factor-authenticatie kan ook worden afgedwongen voor klanten van Keeper Business via de Keeper-beheerdersconsole.

Clientversleuteling

De gegevens worden versleuteld en ontcijferd op het apparaat van de gebruiker, niet in de Cloud Security Vault. We noemen dit 'clientversleuteling' omdat de client (bijv. iPhone, Android, webapp) al het werk doet. De Cloud Security Vault slaat ruwe binaire gegevens op, die waardeloos zijn voor indringers. Zelfs als de gegevens worden onderschept tijdens de overdracht van het clientapparaat naar de Cloud Security Vault, kunnen deze niet worden ontcijferd om de privé-gegevens van de gebruikers aan te vallen of compromitteren.

Voor het doorbreken of hacken van een symmetrische 256-bits-sleutel is 2128 keer de rekenkracht van een 128-bits-sleutel nodig. In theorie zou je hiervoor een apparaat nodig hebben dat er 3x1051 jaar over zou doen om de 256-bits sleutelruimte uit te putten.

Clientversleuteling

Delen

Elke gebruiker heeft een RSA-sleutelpaar van 2048 bit dat wordt gebruikt om te delen. Gedeelde kluisrecords worden versleuteld met de openbare sleutel van de ontvanger. De ontvanger ontsleutelt de record met zijn of haar privésleutel. Zo zorgt een gebruiker ervoor dat zijn of haar records alleen met de bedoelde ontvanger worden gedeeld. Diegene is tenslotte de enige die records kan ontsleutelen.

Sleutelgeneratie

Keeper maakt gebruik van PBKDF2 met HMAC-SHA256 om het hoofdwachtwoord van de gebruiker te converteren naar een 256-bits encryptiesleutel met een minimum van 1000 rondes.

Sleutelopslag

Alle geheime sleutels die moeten worden opgeslagen (zoals de eigen RSA-sleutel en de gegevenssleutel van elke gebruiker) zijn allemaal versleuteld voorafgaand aan opslag of transmissie. Het hoofdwachtwoord van de gebruiker is vereist om sleutels te ontcijferen. Aangezien Keeper's Cloud Security Vault GEEN toegang heeft tot het hoofdwachtwoord van de gebruiker, kunnen we uw sleutels of gegevens nooit ontcijferen.

Keeper's Cloud Security Vault

De Cloud Security Vault verwijst naar de software en netwerkarchitectuur van KSI die fysiek zijn gehost bij de infrastructuur Amazon Web Services (AWS).

Wanneer de gebruiker zijn Keeper-kluis synchroniseert met andere apparaten in zijn account, worden de versleutelde binaire gegevens via een versleutelde SSL-tunnel venzonden en in versleutelde indeling opgeslagen in Keeper's Cloud Security Vault.

Recordversies

Keeper bewaart een volledig versleuteld versieoverzicht van elke record die is opgeslagen in de kluis, om te garanderen dat belangrijke gegevens nooit verloren gaan. Vanuit de Keeper-clientapp kunnen gebruikers de recordgeschiedenis onderzoeken en elke losse kluisrecord herstellen. Als een opgeslagen wachtwoord of bestand in Keeper wordt gewijzigd of verwijderd, hebben gebruikers altijd de mogelijkheid om te herstellen naar een bepaald punt in de tijd.

Keeper Business

Klanten die Keeper Business aanschaffen krijgen een extra controlelaag over hun gebruikers en apparaten. Keeper-beheerders krijgen toegang tot een cloudgebaseerde beheerconsole met volledige controle over het toevoegen en verwijderen van gebruikers, rolgebaseerde machtigingen, gedelegeerd beheer, teams, Active Directory/LDAP-integratie, twee-factor-authenticatie, Single Sign-On en beveiligingsafdwingingsbeleid. Keeper's rolgebaseerde afdwingingsbeleid is volledig aanpasbaar en schaalbaar op organisaties van alle formaten.

Keeper Business

Rollen, teams, gedeelde mappen en gedelegeerd beheer

Keeper for Business biedt een veilige en robuuste set controles ten aanzien van organisatorische eenheden, rollen, teams en gedeelde mappen. De krachtige back-endcontroles van Keeper bieden de meest robuuste beveiligingslagen die toegang met minimale bevoegdheden en volledig gedelegeerde administratie bieden.

Op het niveau van de versleutelingslaag krijgt elke record (bijv. wachtwoord of aanmelding) die is opgeslagen in het Keeper-platform een unieke recordidentificatie (Record UID). Elke record wordt versleuteld met een recordsleutel. Gedeelde mappen hebben een gedeelde mapsleutel, elk team heeft een teamsleutel en een openbaar/particulier sleutelpaar, en elke gebruiker heeft een gebruikersgegevenssleutel, en een openbaar/particulier sleutelpaar. Elke rol waarvoor de overdracht van de gebruikersaccount is vereist, heeft een rolafdwingingssleutel en een openbaar/particulier sleutelpaar. Gegevens op het apparaat van de gebruiker worden versleuteld met de clientsleutel van de gebruiker. De gegevenssleutel van de gebruiker en de clientsleutel zijn versleuteld met het hoofdwachtwoord van de gebruiker.

Bij records die worden gemaakt door een gebruiker, wordt de recordsleutel versleuteld met de gegevenssleutel van de gebruiker. Records worden toegevoegd aan een gedeelde map door de recordsleutel te versleutelen met de gedeelde mapsleutel. Records worden rechtstreeks gedeeld met een gebruiker door de recordsleutel te versleutelen met de openbare sleutel van de gebruiker. Gebruikers worden toegevoegd aan een gedeelde map door de gedeelde mapsleutel te versleutelen met de openbare sleutel van de gebruiker. Teams worden toegevoegd aan een gedeelde map door de gedeelde mapsleutel te versleutelen met de openbare sleutel van het team. Gebruikers worden toegevoegd aan een team door de teamsleutel te versleutelen met de openbare sleutel van de gebruiker.

Voor rollen die de overdracht van een gebruikersaccount afdwingen:

De afdwingingssleutel wordt versleuteld met de openbare sleutel van de beheerder die gemachtigd is om de overdracht uit te voeren.

(Let op: afzonderlijke afdwingingen die worden toegepast op afzonderlijke groepen gebruikers worden mogelijk aangewezen voor overdracht door afzonderlijke groepen beheerders.)

De gegevenssleutel van de gebruiker (voor gebruikers in een rol waarvoor afdwinging wordt toegepast) wordt versleuteld met de openbare sleutel voor rolafdwinging.

Een account die moet worden overgedragen wordt gedaan door de gebruikersaccount te vergrendelen en vervolgens over te dragen en verwijderen. Hierdoor wordt gegarandeerd dat de bewerking niet in het geheim wordt uitgevoerd. De gedeelde gegevenssleutel van de gebruiker en de metadata zorgen voor de mogelijkheid om de recordgegevens te ontcijferen, maar bieden geen directe toegang. Daarom zijn de records pas bruikbaar door een individu nadat ze zijn toegewezen aan dit individu en geen ander individu toegang heeft gekregen.

Alle versleuteling vindt plaats aan de clientkant, en op geen enkel moment heeft Keeper de mogelijkheid om de informatie die wordt gedeeld of overgedragen te ontcijferen. Bovendien kunt u vliegensvlug de clientsleutel van een gebruiker delen. Een gebruiker die wordt verwijderd uit een team, gedeelde map of direct delen ontvangt geen nieuwe gegevens van het team, gedeelde map of record. Daarom, hoewel de sleutel gecompromitteerd is met dat individu, is de sleutel niet bruikbaar om toegang te verkrijgen tot de onderliggende gegevens.

Diverse verschillende administratieve machtigingen kunnen worden toegewezen aan delen van een hiërarchisch overzicht waarmee de leden van de gemachtigde rol bewerkingen kunnen uitvoeren in onze Keeper-beheerdersconsole.

Er kunnen ook aan de serverkant en clientkant afdwingingsbeleidsregels worden toegepast op rollen om het gedrag van de client voor groepen of groepen individuen te dicteren.

Via teams wordt de eenvoudige verspreiding van gedeelde mappen aan groepen gebruikers mogelijk gemaakt.

Keeper Active Directory / LDAP Bridge

De Keeper Bridge wordt geïntegreerd met Active Directory en LDAP-servers voor het toevoegen en aantrekken van gebruikers. De Keeper Bridge-communicatie wordt in eerste instantie geautoriseerd door een beheerder met het privilege om de brug te beheren. Een transmissiesleutel wordt gegenereerd en gedeeld met Keeper voor alle vervolgcommunicatie. Het gebruik van de transmissiesleutel is de autorisatie voor alle bewerkingen die worden uitgevoerd door de brug, met uitzondering van de initialisatie van de brug. De transmissiesleutel kan op elk moment worden gegenereerd, en wordt elke 30 dagen gecirculeerd.

De transmissiesleutel is uitsluitend bedoeld voor transmissie, wat inhoudt dat een gecompromitteerde sleutel opnieuw kan worden geïnitialiseerd of ingetrokken zonder verlies van gegevens of machtigingen.

Keeper Bridge kan geen machtigingen toekennen aan een rol of gebruiker. Het kan wel een gebruiker aan een gemachtigde rol toevoegen, zo lang er geen afdwingingssleutels nodig zijn. Keeper Bridge mag zichzelf of een gebruiker niet boven het overzicht dat het beheert plaatsen. Niet alle bewerkingen zijn beschikbaar voor Bridge. Zo kan Bridge wel een actieve gebruiker uitschakelen, maar de gebruiker niet verwijderen. De beheerder moet bepalen of de gebruiker wordt verwijderd of overgedragen.

Single Sign-On (SAML 2.0)-authenticatie

Keeper kan door Keeper Business-klanten worden geconfigureerd om een gebruiker te authenticeren voor hun Keeper-kluis met standaard SAML 2.0-identiteitsproducten. Keeper is een vooraf geconfigureerde serviceprovider in elke grote SSO-identiteitsprovider, zoals Google Apps, Microsoft Azure, Okta, Ping Identity en andere. Het mechanisme dat Keeper gebruikt om gebruikers te authenticeren voor hun kluis in een zero-knowledge omgeving, is een implementatie waarvoor patent is aangevraagd en Keeper SSO Connect™ wordt genoemd. Keeper SSO Connect is een softwareapplicatie die Keeper Business-beheerders installeren in hun eigen infrastructuur (lokaal of in de cloud). Het fungeert als een SAML 2.0-serviceprovider-eindpunt. Bij activatie op een bepaalde organisatorische eenheid, beheert Keeper SSO Connect alle encryptiesleutels voor Keeper Business-eindgebruikers. Na de succesvolle authenticatie in de zakelijke Single Sign-On-identiteitsprovider, wordt de gebruiker aangemeld bij Keeper met de noodzakelijke encryptiesleutels om hun kluis te ontcijferen. Keeper SSO Connect-software werkt in Windows-, Mac- en Linux-omgevingen.

Keeper SSO Connect

Om zero knowledge beveiliging te waarborgen en te zorgen voor een naadloze SSO-ervaring voor gebruikers, moet Keeper SSO Connect worden geïnstalleerd op de server van de klant. Windows-, Mac- en Linux-omgevingen worden volledig ondersteund met High Availability (HA) modi om de belasting te balanceren.

Keeper SSO Connect genereert en onderhoudt automatisch het hoofdwachtwoord voor elke toegevoegde gebruiker, wat een willekeurig gegenereerde 256-bits sleutel is. Dit hoofdwachtwoord wordt versleuteld met de SSO-sleutel. De SSO-sleutel wordt versleuteld met de Tree Key. De SSO-sleutel wordt geladen van de server na opstarten van de Keeper SSO Connect-service en vervolgens ontcijferd met de Tree Key, die lokaal op de service wordt opgeslagen ter ondersteuning van automatisch opstarten van de service. De communicatie tussen SSO Connect en Keeper's Cloud Security Vault wordt beschermd met een transmissiesleutel.

BreachWatch

BreachWatch scant Keeper-records doorlopend op openbare gegevenslekken en alarmeert de gebruiker in de kluis. BreachWatch kent een zero knowledge architectuur en maakt gebruik van een aantal gelaagde technieken om de klantgegevens te beschermen. In het kort:


  1. Een veilige, versleutelde, cryptografische hash-functie en anonimiseren worden gebruikt om wachtwoorden te vergelijken met een database met gelekte accountgegevens.
  2. Wachtwoorden van klanten worden verwerkt met een Hardware Security Module (HSM) en een niet-exporteerbare geheime sleutel voordat er wordt gecontroleerd op gestolen wachtwoorden of opgeslagen op BreachWatch-servers.
  3. Keeper-klanten zijn interactief met BreachWatch via anonieme BreachWatch-ID's die niet gekoppeld zijn aan andere Keeper-klantidentificatoren.
  4. BreachWatch scheidt gebruikersnamen en wachtwoorden in afzonderlijke services met eigen, geanonimiseerde ID's om gebruikersnamen en domeinen los te koppelen van wachtwoorden.
  5. BreachWatch-klanten uploaden nooit domeingegevens; alleen downloaddomeinen.

BreachWatch Process

Afbeelding 1. Het pad van de gehashte wachtwoordgegevens van een klant via BreachWatch. Alleen wachtwoorden versterkt met een HSM en een niet-exporteerbare sleutel worden opgeslagen op BreachWatch-servers. BreachWatch-klanten gebruiken geanonimiseerde ID's wanneer ze interactief zijn met BreachWatch-servers.


Om een veilige service te bouwen, heeft Keeper BreachWatch opgesplitst in drie services; een voor het controleren van domeinen, gebruikersnamen, wachtwoorden, en gebruikersnaam+wachtwoord-paren. De Keeper-klantenapps nemen met elk van deze back-end-services contact op met een versleutelde REST API.

Domein scannen

BreachWatch-klanten downloaden een lijst met domeinen die zijn gelekt en voeren lokaal een controle uit.

Gebruikersnaam en wachtwoord scannen

Klantapparaten maken verbinding met BreachWatch en uploaden een lijst met gehashte gebruikersnamen (of wachtwoorden) samen met een door de klant geselecteerde, willekeurige identificatie (afzonderlijke identificaties voor de gebruikersnaam- en wachtwoordcontrolerende services). Deze wachtwoord-hashes worden verwerkt bij het uploaden met HMAC via een Hardware Security Module (HSM) en een geheime sleutel die is opgeslagen in HSM en gemarkeerd als niet-exporteerbaar (wat inhoudt dat de HSM de HMAC uitsluitend lokaal verwerkt en de sleutel niet kan worden geëxtraheerd). Deze ge-HMAC’te invoeren (gebruikersnamen en wachtwoorden) worden vergeleken met de gelekte datasets die zijn verwerkt met dezelfde HMAC en sleutel. Eventuele matches worden gemeld bij het clientapparaat. Enige waarden die niet matchen, worden opgeslagen volgens de anonieme ID van de klant.


Naarmate nieuw gelekte gebruikersnamen en wachtwoorden worden toegevoegd aan het systeem, worden deze verwerkt met HMAC op de HSM, toegevoegd aan de BreachWatch-dataset en vergeleken met de opgeslagen klantwaarden. Eventuele matches leveren een alarm op voor die klant-ID.


Klanten melden zich regelmatig aan bij BreachWatch en presenteren hun BreachWatch-ID's. Eventuele berichten in de wachtrij worden gedownload en klanten uploaden eventuele nieuwe of gewijzigde gebruikersnamen en wachtwoorden die op dezelfde manier worden verwerkt.


De beveiliging van de BreachWatch-services is trust-on-first-use (TOFU). Dat betekent dat klanten moeten aannemen dat de BreachWatch-server niet kwaadwillend is (niet actief gecompromitteerd door een aanvaller) wanneer de klant zijn gehashte waarden uploadt. Zodra deze waarden zijn verwerkt met een HSM, worden ze veiliggesteld tegen offline kraakpogingen. Met andere woorden: als een aanvaller de dataset steelt met bewaarde klantwaarden, kan hij of zij deze waarden niet offline kraken zonder de HMAC-sleutel die is opgeslagen in de HSM.


Als een lek van een wachtwoord wordt gedetecteerd, stuurt het klantapparaat een gebruikersnaam+wachtwoord-combinatiehash naar de BreachWatch-servers. De server voert vervolgens dezelfde HMAC-hash-vergelijking uit om te bepalen of een combinatie van gebruikersnaam+wachtwoord is gelekt, en als dat het geval is, of de domeinen gerelateerd aan die lekken worden geretourneerd zodat het klantapparaat kan controleren of gebruikersnaam+wachtwoord+domein overeenkomt. Als alle drie de parameters overeenkomen op het klantapparaat, wordt de gebruiker op de hoogte gesteld van de ernst van het lek.

BreachWatch Business

Wanneer BreachWatch wordt geactiveerd voor zakelijke klanten, worden de kluizen van de eindgebruikers automatisch gescand telkens wanneer een gebruiker zich aanmeldt met Keeper. De BreachWatch-overzichtsgegevens die worden gescand op het apparaat van de gebruiker, worden versleuteld met de zakelijke openbare sleutel en ontcijferd door de zakelijke beheerder bij aanmelding bij de Keeper-beheerdersconsole. De versleutelde informatie bevat het e-mailadres, aantal records met een hoog risico, het aantal opgeloste records en het aantal genegeerde records. De Keeper-beheerder kan het statistiekenoverzicht op gebruikersniveau bekijken via de gebruikersinterface van de beheerdersconsole.

Logboek en rapportage gebeurtenissen

Bij integratie met de Geavanceerde rapportage- en alarmmodule, kunnen apparaten van Keeper-eindgebruikers ook optioneel worden geconfigureerd om gedetailleerde real-time gebeurtenissen te sturen naar SIEM-oplossingen van externe providers en naar de rapportage-interface van de Keeper-beheerdersconsole. De gebeurtenisgegevens bevatten e-mailadres, record-UID, IP-adres en apparaatinformatie (gebeurtenissen bevatten geen ontcijferde recordgegevens aangezien Keeper een zero-knowledge platform is en geen gebruikersgegevens kan ontcijferen).


Standaard worden de gedetailleerde BreachWatch-gebeurtenisgegevens niet naar de Geavanceerde rapportage- en alarmmodule gestuurd, evenmin als naar eventuele verbonden externe loggingsystemen. Om rapportage op gebeurtenisniveau van BreachWatch-gegevens naar de Geavanceerde rapportage- en alarmmodule te activeren, moet u het rolafdwingingsbeleid voor gebeurtenissen inschakelen voor de specifieke rol > Afdwingingsinstellingen > Kluisfuncties. Na inschakeling sturen de klantapparaten deze gebeurtenisgegevens. Aangezien integratie met SIEM-oplossingen van externe partijen wordt verzonden van de Keeper-back-end naar de doel-SIEM, is deze gebeurtenisinformatie daardoor leesbaar door de doel-SIEM en kan worden gebruikt om te identificeren welke records en welke gebruikers binnen de organisatie zwakke wachtwoorden hebben. Als de Keeper-beheerder gebeurtenisgegevens op recordniveau niet wil overdragen aan de Keeper Geavanceerde rapportage- en alarmmodule, kunt u deze instelling uitgeschakeld laten.

Offline-modus

Via de offline-modus hebben gebruikers toegang tot hun kluis wanneer ze online geen verbinding kunnen maken met Keeper of met hun SSO-identiteitsprovider. Deze mogelijkheid is beschikbaar op Keeper's mobiele app, desktop-app en uitgebreid naar zakelijke gebruikers in populaire browsers.


Dit functioneert door een kopie te maken van de kluis op het lokale apparaat van de gebruiker. De kluisgegevens die offline worden opgeslagen zijn AES-GCM-versleuteld met een 256-bits 'clientsleutel' die willekeurig wordt gegenereerd en beschermd door PBKDF2-HMAC-SHA512 met maximaal 100.000 iteraties en een willekeurige salt. De salt en iteraties worden lokaal opgeslagen. Wanneer gebruikers hun hoofdwachtwoord invoeren, wordt een sleutel ervan afgeleid met de salt en de iteraties, en er wordt een poging gedaan om de clientsleutel te ontcijferen. De clientsleutel wordt vervolgens gebruikt om de bewaarde recordcache te ontcijferen. De zelfvernietigingsbescherming wordt ingeschakeld in de kluis van de gebruiker bij 5 mislukte pogingen om aan te melden. Daarbij worden automatisch alle kluisgegevens die lokaal zijn opgeslagen gewist.

Netwerkarchitectuur

KSI maakt gebruik van Amazon AWS in Noord-Amerika en Europa, voor gelokaliseerde gegevensprivacy en geografische segregatie om de Keeper-oplossing en -architectuur te hosten en te laten werken. Door het gebruik van Amazon AWS kan Keeper bronnen naadloos op verzoek schalen en klanten de snelste en veiligste omgeving voor opslag in de cloud aanbieden. KSI opereert in zowel multizone- als multiregio-omgevingen om de uptime te maximaliseren en om de snelste reactietijd aan klanten te kunnen aanbieden.

Netwerkarchitectuur

Serverauthenticatie

De Keeper Cloud Security Vault wordt beschermd door een API die elk verzoek van het clientapparaat authenticeert. Op het clientapparaat wordt een 'authenticatiesleutel' afgeleid van het hoofdwachtwoord met PBKDF2-HMAC-SHA256 en een willekeurige salt. Een 'authenticatiehash' wordt gegenereerd door de 'authenticatiesleutel' te hashen met SHA-256. Om aan te melden, wordt de authenticatiehash vergeleken met een opgeslagen authenticatiehash in de Cloud Security Vault. Na het aanmelden wordt een sessietoken gegenereerd en gebruikt door het clientapparaat voor verdere verzoeken. Dit authenticatietoken moet elke 30 minuten worden vernieuwd, of op aanvraag van de server.

Netwerkarchitectuur

Overdracht laagversleuteling

KSI ondersteunt 256-bits en 128-bits SSL om alle gegevensoverdracht tussen de clienttoepassing en de in de cloud gebaseerde opslag van KSI te versleutelen. Dit is hetzelfde versleutelingsniveau waarop miljoenen individuen en bedrijven elke dag vertrouwen voor online transacties die veilig moeten verlopen, zoals online bankieren, online winkelen, aandelenhandel, toegang tot medische gegevens en de belastingaangifte.

KSI gebruikt TLS-certificaten die zijn ondertekend door Digicert met het algoritme SHA2. Dit is het veiligste handtekeningalgoritme dat op dit moment wordt aangeboden door commerciële certificaatinstanties. SHA2 is aanzienlijk veiliger dan het vaker gebruikte SHA1, waar misbruik van kan worden gemaakt door wiskundige kwetsbaarheden in het algoritme. SHA2 helpt u te beschermen tegen de uitgifte van valse certificaten die kunnen worden gebruikt door een hacker om een website te imiteren.

KSI ondersteunt ook Certificate Transparency (CT), een nieuw initiatief van Google om een openbare record van certificaten van certificaatinstanties samen te stellen. CT helpt u te beschermen tegen de uitgifte van certificaten door niet-gemachtigde instanties. CT wordt op het moment ondersteund in de nieuwste versies van de webbrowser Chrome. U kunt meer informatie over Certificate Transparency vinden via: http://www.certificate-transparency.org/

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256

Sleutel vastmaken

De systeemeigen clients van Keeper implementeren HTTP Public Key Pinning (HPKP). HPKP is een beveiligingsmechanisme dat HTTPS-websites in staat stelt om imitatie door aanvallers met frauduleuze certificaten te weerstaan.

Aanvalsbescherming cross-site scripting (XSS)

De Keeper-webkluis hanteert een streng contentbeveiligingsbeleid dat de oorsprong van uitgaande verzoeken beperkt en voorkomt dat alle scripts worden uitgevoerd, behalve die uitdrukkelijk afkomstig zijn van Keeper. Dit is inclusief in-line scripts en evenementverwerkende HTML-attributen, waarbij de meeste vectoren voor cross-site scriptingaanvallen worden beperkt of uitgeschakeld.


Toegang tot de KeeperSecurity.com- en KeeperSecurity.eu-domeinnamen is beperkt tot HTTPS met TLS v1.2 en wordt afgedwongen via HTTP Strict Transport Security. Dit voorkomt een brede waaier van packet sniffing, gegevensaanpassing en man-in-the-middle-aanvallen.


Binnen de Keeper-browserextensie vraagt Keeper gebruikers niet om zich aan te melden bij hun kluis vanuit het gebied van het paginakader. Aanmelden bij de extensie gebeurt binnen de browserextensie-taakbalk. Aanmelden bij de kluis in de browser geschiedt altijd binnen het KeeperSecurity.com-domein, het KeeperSecurity.eu-domein of vanuit de taakbalk van de Keeper-browserextensie die buiten de inhoudspagina bestaat.


De Keeper-browserextensie in Chrome, Firefox, Edge en Opera maakt gebruik van iFrames voor de injectie van recordgegevens op de aanmeldingsschermen van websites om ervoor te zorgen dat kwaadwillende websites geen toegang krijgen tot geïnjecteerde inhoud. De recordinhoud die wordt geïnjecteerd in iFrames is ook beperkt tot de kluisrecords zoals opgeslagen in de kluis van de gebruiker, die overeenkomt met het domein van de doelwebsite. Keeper biedt geen automatisch invullen van aanmeldings- of wachtwoordgegevens aan, tenzij het websitedomein overeenkomt met het websitedomeinveld van de Keeper-kluisrecord.


De Internet Explorer-extensie maakt gebruik van een afzonderlijk en eigen app-venster voor aanmelding en de toegang tot records. Deze afzonderlijke vensters zijn niet gevoelig voor XSS-aanvallen omdat ze niet toegankelijk zijn vanuit de browser. Hierdoor kan de extensie in Internet Explorer een aanmeldingsscherm genereren vanuit de pagina. De extensie geeft geen records weer, tenzij de records overeenkomen met het hoofddomein van het website-adres.


Browserextensies van externe partijen hebben mogelijk hogere machtigingen in browsers en toegang tot informatie binnen de pagina. Het wordt daarom aangeraden dat Keeper-beheerders voorkomen dat gebruikers niet-goedgekeurde browserextensies van externe partijn installeren vanuit de betreffende app store van de browser.

iOS Sleutelhanger en Touch ID®

Met Touch ID op iOS-apparaten kunt u uw Keeper-kluis op uw iOS-apparaat openen met uw vingerafdruk. Er wordt een onleesbare versie van uw hoofdwachtwoord opgeslagen in de iOS Keychain om deze handige functie te kunnen bieden. Het iOS Keychain-item dat hiervoor wordt gemaakt, kan niet synchroniseren naar de iCloud Keychain en verlaat uw mobiele iOS-apparaat dus nooit.

Het is ten zeerste aanbevolen om een complex hoofdwachtwoord te gebruiken en om Meervoudige verificatie in te schakelen om uw Keeper-kluis optimaal te beveiligen. Touch ID maakt het eenvoudiger om een complex hoofdwachtwoord te gebruiken op uw mobiele iOS-apparaat. We raden u ook aan om een code die langer is dan de vereiste 4 cijfers in te stellen om de iOS Keychain te beveiligen.

De iOS Keychain wordt door iOS en apps gebruikt om uw inloggegevens veilig op te slaan. iOS-apps gebruiken de iOS Keychain om verschillende gevoelige gegevens op te slaan, waaronder wachtwoorden van websites, sleutels, creditcardnummers en Apple Pay™-informatie. Keeper gebruikt de iOS Keychain niet om uw Keeper-records op te slaan. Alle Keeper-records worden beveiligd met 256-bits AES-versleuteling en worden veilig opgeslagen in de Keeper-kluis. De iOS Keychain wordt ook versleuteld met 256-bits AES-versleuteling met de beveiligingscode van het apparaat. Zelfs als het apparaat kwijt of gestolen raakt, of als een aanvaller fysieke toegang tot het mobiele apparaat krijgt, heeft hij geen toegang tot opgeslagen Keeper-informatie. De iOS Keychain kan niet worden ontsleuteld zonder de beveiligingscode en de Keeper-kluis kan niet worden ontsleuteld zonder het Keeper-hoofdwachtwoord van de gebruiker.

Apple Watch®

Met de favorietenfunctie van Apple Watch kunt u de geselecteerde records op een gekoppelde Apple Watch bekijken. Keeper-records moeten specifiek ingeschakeld zijn voor weergave op de Apple Watch. Een gekoppelde Apple Watch communiceert met de Keeper Watch-extensie die overzichtelijk wordt uitgevoerd in een sandbox-ruimte los van de iOS Keeper-app. De Keeper Watch-extensie maakt ook gebruik van iOS Sleutelhanger om sleutels veilig op te slaan en toegankelijk te maken, om het zo naadloos en veilig te laten communiceren met de iOS Keeper-app.

Keeper DNA®

Keeper DNA is een nieuwe en innovatieve toevoeging aan multi-factor-authenticatie. Bij gebruik met een gekoppelde Apple Watch, biedt Keeper DNA een multi-factor-authenticatiemethode die ongeëvenaard is voor wat betreft gemak en beveiliging. Keeper DNA gebruikt beveiligingstokens die zijn opgeslagen in de Keeper-kluis om tijdgebaseerde codes te genereren voor multi-factor-authenticatie. Deze tijdgebaseerde authenticatieverzoeken kunnen worden goedgekeurd door en automatisch worden verzonden vanaf de Apple Watch (of Android Wear-apparaat) met een tik op het scherm van het horloge, of handmatig worden ingevoerd door de gebruiker. Meerdere lagen van versleuteling, Touch ID en multi-factor-authenticatie zorgen ervoor dat Keeper DNA de meest elegante, veilige en geavanceerde authenticatiemethode is die beschikbaar is.

Naleving en controles

Gecertificeerd SOC 2-compliant

De records in een klantkluis worden beschermd via strenge en nauwkeurig gecontroleerde interne praktijken. Keeper is gecertificeerd als SOC 2 Type 2-compliant in overeenstemming met het AICPA Service Organization Control-kader. Door SOC 2-certificering wordt ervoor gezorgd dat uw kluis veilig blijft via de implementatie van gestandaardiseerde controles, zoals gedefinieerd in het AICPA Trust Service Principles-kader.

ISO 27001-gecertificeerd (informatiebeheersysteem)

Keeper is ISO 27001-gecertificeerd voor het Keeper Security-informatiebeheersysteem wat het Keeper Enterprise-platform ondersteunt. Keeper's ISO 27001-certificering is inclusief het beheer en de werking van de digitale kluis en cloudservices, software en applicatie-ontwikkeling, en bescherming van digitale middelen voor de digitale kluis en cloudservices.

Naleving AVG

Keeper voldoet aan de Algemene Verordening Gegevensbescherming (AVG) en we richten ons erop om onze bedrijfsprocessen en producten ook in de toekomst de verordening te laten naleven voor onze klanten in de Europese Unie. Klik hier voor meer informatie over Keeper's naleving van de AVG en om de overeenkomsten aangaande gegevensverwerking te downloaden.

Bescherming van medische patiëntgegevens

Keeper-software voldoet aan internationale medische gegevensbeschermingsnormen, waaronder, zonder beperking de HIPAA (Health Insurance Portability and Accountability Act) en DPA (Data Protection Act).

Penetratietests

Keeper voert periodieke penetratietests uit met externe experts, waaronder Secarma, Rhino Security en onafhankelijke beveiligingsonderzoekers voor al onze producten en systemen. Keeper is ook een samenwerkingsverband aangegaan met Bugcrowd om diens VDP-programma te beheren.

Beveiligingsscan- en penetratietests derde partij

KSI wordt dagelijks getest door McAfee Secure om ervoor te zorgen dat de Keeper-webapp en KSI's Cloud Security Vault veilig zijn voor bekende externe dreigingen, kwetsbaarheden en Denial of Service-aanvallen. U vindt McAfee Secure-badges op de Keeper-website om dagelijkse tests van de Keeper-website, webapp, en Cloud Security Vault te verifiëren.

Maandelijks wordt een uitgebreide externe beveiligingsscan uitgevoerd op de Keeper-website, Keeper-webapp en Keeper Cloud Security Vault door McAfee Secure. De Keeper-werknemers initiëren van tijd tot tijd op aanvraag externe scans via McAfee Secure.

Verwerking van betalingen en naleving van PCI

De KSI gebruikt PayPal Payments Pro voor het veilig verwerken van creditkaart- en bankpasbetalingen via de KSI-betaalwebsite. PayPal Payments Pro is een PCI-DSS-compliant transactieverwerkingsoplossing.

KSI is gecertificeerd PCI-DSS-compliant door McAfee Secure.

EU-US Privacy Shield

De extensies voor de Keeper-webclient, Android-app, Windows Phone-app, iPhone/iPad-app en browser zijn in overeenstemming met EU Privacy Shield gecertificeerd volgens het U.S. Department of Commerce EU-U.S. Privacy Shield-programma en voldoen aan de richtlijn van de Europese Commissie aangaande gegevensbescherming.
Voor meer informatie over het U.S. Department of Commerce U.S.-EU Privacy Shield-programma, zie https://www.privacyshield.gov

U.S. Department of Commerce Export Licensed Under EAR

Keeper is gecertificeerd door het U.S. Department of Commerce Bureau of Industry and Security onder Export Commodity Classification Control Number 5D992, in overeenstemming met Export Administration Regulations (EAR).
Voor meer informatie over EAR: http://www.bis.doc.gov

Dag en nacht externe monitoring

Keeper wordt dag en nacht, alle dagen van het jaar gecontroleerd door een extern wereldwijd monitoringnetwerk om ervoor te zorgen dat onze website en Cloud Security Vault wereldwijd beschikbaar zijn.

Bij vragen over deze beveiligingsverklaring kunt u contact met ons opnemen.

Phishing- of spoofed mails

Als u een email ontvangt die schijnbaar afkomstig is van KSI en u niet zeker weet of dit wel echt zo is, is het mogelijk een 'phishing-mail' waarbij het emailadres niet klopt of 'spoofed' is. In dat geval kan een email koppelingen bevatten naar een website die lijkt op KeeperSecurity.com, maar niet onze site is. De website vraagt mogelijk naar uw hoofdwachtwoord voor Keeper Security of probeert ongewenste software op uw computer te installeren in een poging om uw persoonlijke gegevens te stelen of toegang te krijgen tot uw computer. Andere emails bevatten koppelingen die u doorsturen naar andere, potentieel gevaarlijke, websites. Het bericht bevat mogelijk ook bijlagen met ongewenste software, oftewel 'malware'. Als u twijfelt over een email die u in uw inbox hebt ontvangen, moet u deze verwijderen zonder op koppelingen te klikken of zonder bijlagen te openen.

Als u een email ontvangt die schijnbaar van KSI is maar waarvan u denkt dat deze vals is of als u andere zorgen heeft over beveiliging in relatie tot KSI, kunt u contact opnemen met ons.

Gecertificeerde hostinginfrastructuur volgens de strengste industrienormen

De Keeper-website en opslag in de cloud werkt via de veilige Amazon Web Services (AWS) cloudcomputing-infrastructuur. De AWS-cloudinfrastructuur die Keeper's systeemarchitectuur host is gecertificeerd en voldoet aan de volgende attesten, rapporten en certificeringen van derde partijen:

  • SOC 1 / SSAE 16 / ISAE 3402
    (SAS70)
  • SOC 2
  • SOC 3
  • PCI DSS Level 1
  • ISO 27001
  • FedRamp
  • DIACAP
  • FISMA
  • ITAC
  • FIPS 140-2
  • CSA
  • MPAA

Kwetsbaarheidsrapportage en Bug Bounty-programma

Keeper Security is gericht op de best practice in de branche van verantwoordelijke openbaarmaking van potentiële beveiligingskwesties. We nemen uw beveiliging en privacy serieus, en concentreren ons op de bescherming van de privacy en persoonsgegevens van onze klanten. KSI's missie is om 's werelds veiligste en meest innovatieve beveiligingsapps te maken, en we geloven dat bugrapporten van de wereldwijde community van beveiligingsonderzoekers een waardevol onderdeel is om de beveiliging van de producten en diensten van KSI te waarborgen.


Onze gebruikers veilig houden vormt de kern van onze bedrijfswaarden. We waarderen de input van goedwillende hackers en geloven dat een langdurige relatie met de hackergemeenschap ons helpt om de beveiliging en privacy van onze gebruikers te waarborgen, en internet veiliger maakt. Dit omvat onder meer het stimuleren van verantwoordelijke beveiligingstests en ontsluiting van kwetsbare beveiligingsaspecten.

Richtlijnen

In het ontsluitingsbeleid van kwetsbaarheden van Keeper worden onze verwachtingen uiteengezet bij het werken met goedwillende hackers, plus wat u van ons kunt verwachten.

Wanneer beveiligingstests en -rapporten worden uitgevoerd binnen de richtlijnen van dit beleid:

  • Beschouwen we deze als geautoriseerd in overeenstemming met de Computer Fraud and Abuse Act,
  • Beschouwen we deze als uitgesloten van de DMCA en spannen we geen rechtszaak tegen u aan voor het omzeilen van enige beveiligings- of technologische controles,
  • Beschouwen we deze als legaal en nemen of ondersteunen wij geen strafrechtelijke stappen in verband met dit programma jegens u,
  • Werken we samen met u om de kwestie te begrijpen en snel te verhelpen, en
  • Erkennen we uw bijdragen publiekelijk als u de eerste bent die de kwestie rapporteert, en voeren we een code- of configuratiewijziging door op basis van de kwestie.

Als u zich op welk moment dan ook zorgen maakt of onzeker bent over testen op deze manier, of dit wel consistent is met de richtlijnen en de reikwijdte van dit beleid, kunt u contact met ons opnemen via security@keepersecurity.com voordat u verdergaat.

Om goedwillende beveiligingstests te stimuleren, evenals de ontsluiting van ontdekte kwetsbaarheden, vragen we u:

  • Het schenden van de privacy te vermijden, evenals het negatief beïnvloeden van de gebruikerservaring, het storen van de productie of bedrijfssystemen, en/of het vernietigen van gegevens,
  • Onderzoek alleen uit te voeren binnen de reikwijdte zoals hieronder uiteengezet, en systemen en activiteiten die hierbuiten vallen te respecteren,
  • Onmiddellijk contact met ons op te nemen via security@keepersecurity.com als u gebruikersgegevens aantreft tijdens het testen, en
  • Ons redelijk de tijd te geven om de gemelde kwestie te analyseren, bevestigen en herstellen voordat u enige kwetsbaarheid die u hebt gevonden openbaar maakt.

Een rapport indienen

Keeper is een samenwerkingsverband aangegaan met Bugcrowd om ons programma voor ontsluiting van kwetsbaarheden te beheren. Stuur rapporten in via [https://bugcrowd.com/keepersecurity].