<div dir="ltr">On Mon, Jan 26, 2015 at 11:11 PM, Francois Marier <span dir="ltr"><<a href="mailto:francois@mozilla.com" target="_blank">francois@mozilla.com</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 24/01/15 11:42, Christopher Karlof wrote:<br>
> *shrug* As is, master password sucks. One dangerous thing with<br>
> encrypting your local profile with a password derived key is that if<br>
> you forget your password, you lose *all* your data.<br>
><br>
> Alternatively, you might consider using kA to encrypt the local<br>
> profile. In that case, as long as you can at least reset your<br>
> password (via email challenge), you can recover your local data.<br>
<br>
</span>That's a really interesting idea.<br>
<br>
The trouble with kA in Sync is that if we used that, we'd have both the<br>
encrypted data and the encryption key on our servers [1]. In the context<br>
of encrypting a local profile, however, things are very different. The<br>
fxa server only has the key, it doesn't have the data, which only lives<br>
on the client. We can't do anything with just the key.<br>
<br>
So perhaps a good first step to try this out would be to re-do the<br>
master password feature such that you can optionally (and maybe even by<br>
default?) "escrow" the key onto the FxA server [2].<br>
<br>
What do you think?<br>
<br></blockquote><div><br></div><div>I think it’s a fantastic idea. I think there are a lot of people that would be happy to see that, and it sounds like something that could be done pretty easily without many or any UX changes. Let me know how I can help.</div><div><br></div><div>A detail: We currently store kA persistently in the password manager along with kB for Sync, so we you might want to revisit that. </div><div><br></div><div>-chris</div><div><br></div><div><br></div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Francois<br>
<br>
[1] In other words, the way the Sync data is stored would be equivalent<br>
to plain text on the server.<br>
<br>
[2] In that case, to decrypt the password file, you could either type<br>
the password locally, or log into FxA (potentially through a password<br>
reset) and ask for the key.<br>
</blockquote></div><br></div></div>