Door Jan Joris Vereijken:
Wat ik zelf doe: ik heb mijn LastPass master password in mijn normale LastPass kluis zelf gestopt (wacht, nog even niet lachen!!!), en periodiek maak ik een clear-text CSV export van al mijn wachtwoorden (dus incl. master password), die ik daarna direct met GnuPG encrypt en wipe. De lastpass.csv.gpg en mijn (passphrase-protected) private key bewaar ik gewoon op mijn (remote backuped) NASje.
Zo kan ik én recoveren van een vergeten master password, en óók van het failliet gaan van LastPass.
Als ik mijn GPG passphrase vergeet ben ik hevig de sigaar, en zo hoort dat ook. De buck moet ergens stoppen!
Je systeem heeft een aantal zwakke plekken die nergens voor nodig zijn:
- Bewaar je LastPass master wachtwoord dus nooit in LastPass zelf. De reden is eenvoudig: mocht ooit jouw account via een andere weg dan je master password gecompromitteerd raken (vergeten uit te loggen op een pc, of uiteindelijk toch gebleken zwakte in de webapplicatie, etc) dan zou een aanvaller mogelijk je master password kunnen uitlezen en krijgt daarmee eigenlijk volle toegang tot je account. Het wordt dan kinderlijk eenvoudig om jou in z'n geheel buiten te sluiten door wachtwoorden te veranderen, contactgegevens aan te passen (de mailbevestiging kan ook worden ontweken want iemand kan immers in je mailbox want het wachtwoord daarvoor staat waarschijnlijk ook in lastpass, etc). Nasty stuff dus, nooit aan te raden.
- Vervolgens maak je een plaint-text export. Dat is ansich niet verkeerd, maar in feite verschuif je het probleem alleen maar van een vergeten master password naar een vergeten gpg wachtwoord. In feite los je het probleem dus niet op. En het grappige is, aan jouw 'probleem' is allang gedacht. Lastpass cached namelijk al je data lokaal, dus ook al zouden ze niet bereikbaar zijn (al dan niet permanent) kun je altijd nog bij je wachtwoorden: https://lastpass.com/support.php?cmd=showfaq&id=1376
- Daarnaast staan je wachtwoorden allemaal even in 'plain text' ergens op disk, alvorens je ze opnieuw versleuteld met gpg. Natuurlijk weet ik dat dat in feite ook gebeurt als je een browsersessie hebt en je tikt voor het eerst een wachtwoord in (memory attack, keylogger, etc). Maar tegen dat laatste kun je dingen doen zoals het laten genereren van een wachtwoord door een alternatieve tool, en deze bijvoorbeeld alleen via het on-screen keyboard in te voeren. Door de plain text save loop je net even wat meer risico, omdat een stuk malware dat mogelijk wel kan afvangen op eenvoudige wijze.
Naar mijn idee kun je nog altijd het beste wachtwoorden die echt belangrijk zijn (dus bijvoorbeeld niet te recoveren zijn) opschrijven en sealed in een envelop leggen, bij voorkeur niet in je eigen huis maar wel een plek waar je die regelmatig kunt controleren. Een dead drop zou niet eens een gek idee zijn ... Als je het digitaal wilt houden sla het bijvoorbeeld op in een tekst file op een micro sd kaartje en verstop dat ergens. Je zou steganografie kunnen toepassen als een extra laag veiligheid voor de willekeurige voorbijganger.
beter je master password ergens op een papiertje schrijven, en in een sealed envelop ergens wegleggen en je naasten erover vertellen,