Security Professionals - ipfw add deny all from eindgebruikers to any

Backup master wachtwoord LastPass v4

10-01-2016, 12:42 door Dick99999, 7 reacties
Laatst bijgewerkt: 11-01-2016, 15:23
In de beschrijving van de nieuwe functie 'Emergency access' van LP 4, staat dat dit ook als backup gebruikt kan worden. Verder worden geen details gegeven. Ik heb het volgende gedaan als vervanging van mijn (slechte) backup van het hoofdwachtwoord van mijn hoofdkluis.

Eenmalige voorbereiding:
- Ik heb een 2-de gratis LastPass kluis (account) aangemaakt
- Emergency access geautoriseerd vanuit mijn hoofdkluis voor de 2-de kluis en daar geaccepteerd
- De vertraging voor het verkrijgen van emergency access is ingesteld op enkele dagen
- Het wachtwoord van de 2-de kluis heb ik ergens opgeschreven, als iemand dat 'vindt' is het niet erg, want:

Als de backup nodig is:
- Kan ik het wachtwoord van de 2-de kluis vinden en inloggen bij de 2-de kluis
- Vanuit de 2-de kluis toegang tot de hoofdkluis aanvragen (daar is deze 2-de kluis voor geautoriseerd in de voorbereiding)
- Na de ingestelde wachtperiode krijgt de 2-de kluis toegang tot de hoofdkluis, daarin staat ook het wachtwoord daarvan
- (Als iemand anders het briefje 'vindt' kan ik de aanvraag natuurlijk weigeren binnen de vertragingsperiode)

Ik vraag mij af of iemand hier zwakke punten in ziet t.o.v het wachtwoord van de hoofdkluis ergens opschrijven of andere backup methoden,zoals het One Time Password dat LP voor recovery op je PC kan zetten.
Reacties (7)
13-01-2016, 20:33 door Anoniem
Ik zie er al twee, stel die enkele dagen voor waarin je net vergeet te kijken: vakantie, kapotte pc, geen internet, ziekte, coma.
En het geval de ander weet dat jij in ziekenhuis ligt, coma ofzo, en het wachtwoord weet. De ander doet meteen aanvraag, omdat familie meestal vergeet te denken aan lastpass.

De ander moet dan wel het wachtwoord weten, en er is een zeer grote kans dat die bekend is bij de familie. Dus als die stiekem eerder is met de aanvraag dan is de dader wel beter op te sporen.
Maak die tijd dus niet te kort is mijn advies.

Ik hoop dat je hier wat aan hebt.
14-01-2016, 06:41 door Jan Joris Vereijken
Ik vind oplossingen waarbij wachtwoorden op briefjes staan nooit zo fraai. Dat briefje zou dan in een verzegelde envelop in een kluis moeten liggen, maar dat is ook weer zo'n gedoe.

Wat ik zelf doe: ik heb mijn LastPass master password in mijn normale LastPass kluis zelf gestopt (wacht, nog even niet lachen!!!), en periodiek maak ik een clear-text CSV export van al mijn wachtwoorden (dus incl. master password), die ik daarna direct met GnuPG encrypt en wipe. De lastpass.csv.gpg en mijn (passphrase-protected) private key bewaar ik gewoon op mijn (remote backuped) NASje.

Zo kan ik én recoveren van een vergeten master password, en óók van het failliet gaan van LastPass.

Als ik mijn GPG passphrase vergeet ben ik hevig de sigaar, en zo hoort dat ook. De buck moet ergens stoppen!
14-01-2016, 20:23 door Dick99999
Door Anoniem: Ik zie er al twee, stel die enkele dagen voor waarin je net vergeet te kijken: vakantie, kapotte pc, geen internet, ziekte, coma.
En het geval de ander weet dat jij in ziekenhuis ligt, coma ofzo, en het wachtwoord weet. De ander doet meteen aanvraag, omdat familie meestal vergeet te denken aan lastpass.

De ander moet dan wel het wachtwoord weten, en er is een zeer grote kans dat die bekend is bij de familie. Dus als die stiekem eerder is met de aanvraag dan is de dader wel beter op te sporen.
Maak die tijd dus niet te kort is mijn advies.

Ik hoop dat je hier wat aan hebt.
Inderdaad nadelen, maar die gelden toch ook als de emergency mode niet gebruikt wordt? Ik was op zoek nadelen die deze oplossing heeft en de andere oplossing ( zoals verborgen opgeschreven master wachtwoord hoofdkluis, LP one time password recovery) niet hebben.
Ik zie de vertraging, eigenlijk het gehele emergency mechanisme alleen iets (beveiliging) toevoegen, ook bij diefstal van het wachtwoord (nu van de 2-de kluis).
30-01-2016, 10:15 door Anoniem
Door Jan Joris Vereijken:
Wat ik zelf doe: ik heb mijn LastPass master password in mijn normale LastPass kluis zelf gestopt (wacht, nog even niet lachen!!!), en periodiek maak ik een clear-text CSV export van al mijn wachtwoorden (dus incl. master password), die ik daarna direct met GnuPG encrypt en wipe. De lastpass.csv.gpg en mijn (passphrase-protected) private key bewaar ik gewoon op mijn (remote backuped) NASje.

Zo kan ik én recoveren van een vergeten master password, en óók van het failliet gaan van LastPass.

Als ik mijn GPG passphrase vergeet ben ik hevig de sigaar, en zo hoort dat ook. De buck moet ergens stoppen!

Je systeem heeft een aantal zwakke plekken die nergens voor nodig zijn:

- Bewaar je LastPass master wachtwoord dus nooit in LastPass zelf. De reden is eenvoudig: mocht ooit jouw account via een andere weg dan je master password gecompromitteerd raken (vergeten uit te loggen op een pc, of uiteindelijk toch gebleken zwakte in de webapplicatie, etc) dan zou een aanvaller mogelijk je master password kunnen uitlezen en krijgt daarmee eigenlijk volle toegang tot je account. Het wordt dan kinderlijk eenvoudig om jou in z'n geheel buiten te sluiten door wachtwoorden te veranderen, contactgegevens aan te passen (de mailbevestiging kan ook worden ontweken want iemand kan immers in je mailbox want het wachtwoord daarvoor staat waarschijnlijk ook in lastpass, etc). Nasty stuff dus, nooit aan te raden.
- Vervolgens maak je een plaint-text export. Dat is ansich niet verkeerd, maar in feite verschuif je het probleem alleen maar van een vergeten master password naar een vergeten gpg wachtwoord. In feite los je het probleem dus niet op. En het grappige is, aan jouw 'probleem' is allang gedacht. Lastpass cached namelijk al je data lokaal, dus ook al zouden ze niet bereikbaar zijn (al dan niet permanent) kun je altijd nog bij je wachtwoorden: https://lastpass.com/support.php?cmd=showfaq&id=1376
- Daarnaast staan je wachtwoorden allemaal even in 'plain text' ergens op disk, alvorens je ze opnieuw versleuteld met gpg. Natuurlijk weet ik dat dat in feite ook gebeurt als je een browsersessie hebt en je tikt voor het eerst een wachtwoord in (memory attack, keylogger, etc). Maar tegen dat laatste kun je dingen doen zoals het laten genereren van een wachtwoord door een alternatieve tool, en deze bijvoorbeeld alleen via het on-screen keyboard in te voeren. Door de plain text save loop je net even wat meer risico, omdat een stuk malware dat mogelijk wel kan afvangen op eenvoudige wijze.

Naar mijn idee kun je nog altijd het beste wachtwoorden die echt belangrijk zijn (dus bijvoorbeeld niet te recoveren zijn) opschrijven en sealed in een envelop leggen, bij voorkeur niet in je eigen huis maar wel een plek waar je die regelmatig kunt controleren. Een dead drop zou niet eens een gek idee zijn ... Als je het digitaal wilt houden sla het bijvoorbeeld op in een tekst file op een micro sd kaartje en verstop dat ergens. Je zou steganografie kunnen toepassen als een extra laag veiligheid voor de willekeurige voorbijganger.

beter je master password ergens op een papiertje schrijven, en in een sealed envelop ergens wegleggen en je naasten erover vertellen,
30-01-2016, 19:21 door Dick99999
Het LP master wachtwoord kan je wel degelijk veilig opslaan in de kluis zelf. De risico's die 10:15 Anoniem vermeldt, gelden niet als je in het master wachtwoord record onder Advanced Settings het Require Password Reprompt aanvinkt.

Inderdaad verschuift Jan Joris Vereijken het probleem naar de key van GnuPG, dat schrijft hij ook. Vertrouwen op de LP cache is het laatste wat ik zou doen als backup van de data (de inhoud van de kluis). Die files zijn er soms ook niet (cache clear) en je hebt de goede versie een werkende LP nodig i.p.v. een werkend backup programma.

Het opschrijven van het master password is risicovol. Iemand kan de notitie 'vinden' en je moet het bijhouden als het wachtwoord verandert. En het is nu echt niet meer nodig als je van het nieuwe mogelijkheid 'emergency access' gebruik maakt zoals ik beschreef. Ik neem aan dat het veilig is, ook gezien de weinige reacties op mijn vraag over de veiligheid van die oplossing.
01-02-2016, 12:40 door Anoniem
Ik snap het niet zo goed allemaal.
je hebt toch regelmatig LP nodig (meerdere keren per dag), dus de kans dat je het wachtwoord niet meer weet, lijkt me vrij klein.
Ik heb ondertussen wel mijn vrouw Emergency access gegeven met een vertraging van 1 dag (en vice versa).
Nu maar hopen dat we het nooit nodig hebben.

Een terecht punt is wel wat in het geval dat LP er ooit mee stopt. Ik vermoed dat het dan massaal de 'ik-heb-mijn-wachtwoord-vergeten'-procedure van websites uittesten wordt.
02-02-2016, 09:10 door Dick99999 - Bijgewerkt: 02-02-2016, 09:11
Door Anoniem: Ik snap het niet zo goed allemaal.
je hebt toch regelmatig LP nodig (meerdere keren per dag), dus de kans dat je het wachtwoord niet meer weet, lijkt me vrij klein.
Ik heb ondertussen wel mijn vrouw Emergency access gegeven met een vertraging van 1 dag (en vice versa).
Nu maar hopen dat we het nooit nodig hebben.

Een terecht punt is wel wat in het geval dat LP er ooit mee stopt. Ik vermoed dat het dan massaal de 'ik-heb-mijn-wachtwoord-vergeten'-procedure van websites uittesten wordt.
Je snapt het niet? En toch gebruik je de emergency mogelijkheid? :-)

Eens met de kleine kans op vergeten. Maar wat doe je in het geval de vertrouweling (nog) geen LastPass gebruikt, snap je? Heb je de one time recovery password optie nu ook durven uit te zetten?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.