« Incidents » LastPass : données personnelles et mots de passe chiffrés dans la nature

« Incidents » LastPass : données personnelles et mots de passe chiffrés dans la nature

Jusqu'au prochain épisode

Avatar de l'auteur

Vincent Hermann

Publié dansInternet

23/12/2022
34
« Incidents » LastPass : données personnelles et mots de passe chiffrés dans la nature

En août dernier, LastPass révélait une brèche dans ses défenses. Le mois suivant, on apprenait que le pirate avait réussi à voler du code source et des données utilisateurs, mais sans rien de grave. Hier, l’entreprise a cependant apporté de nouveaux détails, et la situation est en fait bien plus sérieuse que prévu.

On savait depuis cet été que LastPass s’était fait voler du code source et des informations techniques propriétaires. Au moment de cette annonce, les mots de passe maîtres, mots de passe chiffrés, informations personnelles et autres étaient épargnés. Il se trouve que la situation est loin d’être aussi simple.

Fin novembre, les données récupérées par les pirates étaient utilisées pour accéder à « un service tiers de stockage dans le cloud », avec cette fois-ci des conséquences directes pour les clients : les pirates avaient en effet pu « accéder à certaines informations », sans plus de précisions sur l’étendue des dégâts. 

Dans une mise à jour publiée hier soir – la troisième depuis cet été –, LastPass avertit que des données des clients ont bien été atteintes, tant les informations personnelles que les métadonnées : nom et prénom, nom de l’entreprise, adresse de facturation, email, numéro de téléphone ou encore IP. Autant d’informations qui permettent de mettre en place des campagnes de phishing, la prudence reste donc de mise. 

Des données chiffrées et en clair dans la nature

Encore plus grave, des coffres-forts de clients se trouvaient dans des « conteneurs chiffrés » – stockés dans « un format binaire propriétaire », sans autre précision – qui ont pu être copiés par le pirate. On y retrouve à la fois des informations non chiffrées classiques telles que des URL, mais surtout les données chiffrées très sensibles composant le cœur du service : identifiants, mots de passe, notes sécurisées et éléments de remplissage pour les formulaires.

Karim Toubba, PDG de LastPass, a repris la plume pour apporter les mauvaises nouvelles. Il a vite précisé que « ces champs chiffrés restent en sécurité avec un chiffrement AES 256 bits », qui « ne peut être déchiffré qu’avec une clé de chiffrement dérivée du mot de passe maître de chaque utilisateur, en utilisant notre architecture Zero Knowledge ». Cette dernière signifie que l’entreprise n’a pas de visibilité sur les données des utilisateurs.

Ce que redit d’ailleurs Toubba : « Pour rappel, le mot de passe maître n’est jamais connu de LastPass et n’est pas stocké ou maintenu par LastPass. Le chiffrement et le déchiffrement des données sont réalisés uniquement en local par le client LastPass ». 

Tout n’est pas encore clair

LastPass ajoute que rien ne permet de supposer que les données non chiffrées des cartes bancaires ont été accédées, ces informations étant partielles et stockées dans l’instance cloud à laquelle le pirate a eu accès. 

En outre, même si les données chiffrées des utilisateurs ne peuvent a priori pas être lues, l’opération n’est pas impossible en théorie, mais elle n’est pas réalisable dans la pratique, sauf à découvrir une faille dans l’algorithme… ou à récupérer le mot de passe maitre de l’utilisateur. Si le mot de passe maitre est trop facilement devinable ou s’il a été utilisé sur d’autres services, il faut le changer sans attendre.

On ne sait pas non plus combien de personnes ont vu leurs données copiées par le pirate, ni de quand datent ces informations. La situation reste dans tous les cas beaucoup plus grave qu’escompté, au vu de la quantité significative de données récupérées. Rien ne dit qu’une prochaine mise à jour de la situation ne viendra pas noircir encore le tableau.

Officiellement, aucune action recommandée

Selon LastPass, il n’y a pas d’actions recommandées à ce stade, si ce n’est faire preuve de prudence face aux attaques par phishing et si votre mot de passe maitre est trop faible et/ou utilisé plusieurs fois.

LastPass rappelle quelques règles de bon sens : la société « ne vous appellera jamais, ne vous enverra jamais d’e-mail ou de SMS pour vous demander de cliquer sur un lien pour vérifier vos informations personnelles. Sauf lorsque vous vous connectez à votre coffre-fort à partir d’un client LastPass, la société ne vous demandera jamais votre mot de passe principal ».

L’éditeur recommande également que les mots de passe maîtres fassent au moins 12 caractères de long avec des différents caractères. Ils sont également protégés, entre autres, par 100 100 itérations de Password-Based Key Derivation Function (PBKDF2). Nombre que les utilisateurs peuvent d’ailleurs augmenter dans les options du compte. Ce ne serait d’ailleurs pas un mal, car le NIST américain recommande 310 000 itérations pour le SHA256 qu’utilise LastPass (120 000 pour SHA512).

LastPass affirme qu’il faudrait – avec un mot de passe maitre respectant les recommandations – des millions d’années pour récupérer le mot de passe maître avec les outils communément utilisés, l’entreprise dit réaliser régulièrement des tests contre ses propres infrastructures. Si vous ne l’avez pas encore activé, nous vous recommandons aussi d’activer l’authentification à deux facteurs. Vous pouvez aussi utiliser une connexion sans mot de passe, avec LastPass Authenticator, de la biométrie ou une clé de sécurité.

L’entreprise dit avoir procédé à de nombreux travaux depuis août. L’environnement de développement qui avait été attaqué – en piégeant l’un des développeurs de LastPass pour rappel – a été « entièrement décommissionné » et rebâti depuis zéro. Les mécanismes d’authentification, processus et machines de développement ont été remplacés et leur sécurité renforcée. Cela n’a pour autant pas empêché une nouvelle attaque fin novembre. 

L’analyse est toujours en cours

Concernant les derniers développements, LastPass indique qu’une « analyse exhaustive » est faite pour tous les comptes présentant une activité inhabituelle. Cette analyse étant en cours, cela explique sans doute pourquoi on ne connait pas encore le nombre de personnes concernées. Un peu moins de 3 % des clients professionnels ont en tout cas déjà été contactés pour agir sur la configuration de leur compte, quand elle est jugée trop légère.

LastPass souligne encore une fois que toutes les autorités compétentes ont été averties et que d’autres informations seront publiées par la suite. Les éventuelles personnes concernées seront contactées s’il y a des actions à entreprendre.

Il n’en reste pas moins que la situation est compliqué pour LastPass, surtout pour son image de marque. Le vol des coffres-forts de ses clients avec les mots de passes chiffrés est un vrai coup dur. La société joue sur la transparence pour rassurer ses clients, mais le manque de précisions sur certains points et les incidents à répétitions ne sont pas rassurants. 

34
Avatar de l'auteur

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Logo de StreetPress

Pourquoi le site du média StreetPress a été momentanément inaccessible

Incitation à la LCEN

16:41 Droit 0
Amazon re:Invent

re:Invent 2023 : Amazon lance son assistant Q et plusieurs services IA, dont la génération d’images

Site de Q

14:17 IA 10
Un œil symbolisant l'Union européenne, et les dissensions et problèmes afférents

Le Conseil de l’UE tire un bilan du RGPD, les États membres réclament des « outils pratiques »

09:34 Droit 2

Sommaire de l'article

Introduction

Des données chiffrées et en clair dans la nature

Tout n’est pas encore clair

Officiellement, aucune action recommandée

L’analyse est toujours en cours

Logo de StreetPress

Pourquoi le site du média StreetPress a été momentanément inaccessible

Droit 0
Amazon re:Invent

re:Invent 2023 : Amazon lance son assistant Q et plusieurs services IA, dont la génération d’images

IA 10
Un œil symbolisant l'Union européenne, et les dissensions et problèmes afférents

Le Conseil de l’UE tire un bilan du RGPD, les États membres réclament des « outils pratiques »

Droit 2

19 associations européennes de consommateurs portent plainte contre Meta

DroitSocials 9

#LeBrief : Ariane 6 l’été prochain, Nextcloud rachète Roundcube, désinformation via la pub

Chiffre et formules mathématiques sur un tableau

CVSS 4.0 : dur, dur, d’être un expert !

Sécu 6
Une tête de fusée siglée Starlink.

Starlink accessible à Gaza sous contrôle de l’administration israélienne

Web 29
Fibre optique

G-PON, XGS-PON et 50G-PON : jusqu’à 50 Gb/s en fibre optique

HardWeb 35
Photo d'un immeuble troué de part en part

Règlement sur la cyber-résilience : les instances européennes en passe de conclure un accord

DroitSécu 8
lexique IA parodie

AGI, GPAI, modèles de fondation… de quoi on parle ?

IA 7

#LeBrief : logiciels libres scientifiques, fermeture de compte Google, « fabriquer » des femmes pour l’inclusion

livre dématérialisé

Des chercheurs ont élaboré une technique d’extraction des données d’entrainement de ChatGPT

IAScience 3
Un chien avec des lunettes apprend sur une tablette

Devenir expert en sécurité informatique en 3 clics

Sécu 11
Logo ownCloud

ownCloud : faille béante dans les déploiements conteneurisés utilisant graphapi

Sécu 16
Le SoC Graviton4 d’Amazon AWS posé sur une table

Amazon re:invent : SoC Graviton4 (Arm), instance R8g et Trainium2 pour l’IA

Hard 9
Logo Comcybergend

Guéguerre des polices dans le cyber (OFAC et ComCyberMi)

Sécu 10

#LeBrief : faille 0-day dans Chrome, smartphones à Hong Kong, 25 ans de la Dreamcast

Mur d’OVHcloud à Roubaix, avec le logo OVHcloud

OVHcloud Summit 2023 : SecNumCloud, IA et Local Zones

HardWeb 2
algorithmes de la CAF

Transparence, discriminations : les questions soulevées par l’algorithme de la CAF

IASociété 62

Plainte contre l’alternative paiement ou publicité comportementale de Meta

DroitIA 37
Nuage (pour le cloud) avec de la foudre

Économie de la donnée et services de cloud : l’Arcep renforce ses troupes

DroitWeb 0
De vieux ciseaux posés sur une surface en bois

Plus de 60 % des demandes de suppression reçues par Google émanent de Russie

Société 5
Une vieille boussole posée sur un plan en bois

La Commission européenne et Google proposent deux bases de données de fact-checks

DroitWeb 3

#LeBrief : des fichiers Google Drive disparaissent, FreeBSD 14, caméras camouflées, OnePlus 12

Le poing Dev – round 6

Next 150

Produits dangereux sur le web : nouvelles obligations en vue pour les marketplaces

Droit 9
consommation de l'ia

Usages et frugalité : quelle place pour les IA dans la société de demain ?

IA 12

La NASA établit une liaison laser à 16 millions de km, les essais continuent

Science 17
Concept de CPU

Semi-conducteurs : un important accord entre l’Europe et l’Inde

Hard 7

#LeBrief : PS5 Slim en France, Valeo porte plainte contre NVIDIA, pertes publicitaires X/Twitter

Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

651e édition des LIDD : Liens Intelligents Du Dimanche

Web 30
Bannière de Flock avec des bomes sur un fond rouge

#Flock, le grand remplacement par les intelligences artificielles

Flock 34
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #9 : LeBrief 2.0, ligne édito, dossiers de fond

Next 67
Nuage (pour le cloud) avec de la foudre

Cloud : Google demande au régulateur britannique d’enquêter sur Microsoft

Droit 13

Ariane 6 sur son pas de tir

Ariane 6 : premier décollage à l’été 2024

Science 7

La Grande Mosquée se détache devant les toits des maisons de Jérusalem.

Conflit Israël-Hamas : 349 marques financent la désinformation via la publicité programmatique

Web 4

Logo de Nextcloud

Nextcloud rachète la solution open-source de webmail Roundcube

ÉcoWeb 9

Logo de Steam

Steam va abandonner le support de macOS 10.13 et 10.14

Soft 6

Commentaires (34)


Valeryan_24 Abonné
Il y a 11 mois

Je n’avais pas vu l’info sur cette nouvelle brèche LastPass dans le Brief, je me doutais qu’un article plus complet était en préparation, merci :yes:



Bon, j’ai quitté LastPass pour Bitwarden en octobre 2017, mais j’ignore si j’avais effacé là-bas toutes mes entrées ou si mon container y était toujours, avec des mots de passe…



Ça va être l’occasion de faire un nettoyage numérique de sécurité - bien qu’utilisant un gestionnaire, j’ai encore trop de MdP avec une base commune et une variation personnalisée par site, il est temps de changer tout ça !


coco74 Abonné
Il y a 11 mois

Il y a une possibilité assez simple d’exportation de la base de mots de passe pour la passer chez bitwarden par exemple.


upgrayd
Il y a 11 mois

C’est pas demain que je vais abandonner mon keepass en local…


SebGF Abonné
Il y a 11 mois

Pas mieux :D


marba
Il y a 11 mois

SebGF

Pas mieux :D

KeepassXC pour PC
KeepassDX pour Android (ne pas oublier d’utiliser le magic keyboard)


SebGF Abonné
Il y a 11 mois

marba

KeepassXC pour PC KeepassDX pour Android (ne pas oublier d’utiliser le magic keyboard)

C’est effectivement la combinaison que j’utilise aussi.


mayuraviva Abonné
Il y a 11 mois

+1, malheureusement on nous essaye de nous forcer de plus en plus à aller dans le cloud. Je hais cette tendance de l’informatique moderne du “As a service”.


Zorg1969 Abonné
Il y a 11 mois

+1 pour Keepass.


Adhrone
Il y a 11 mois

J’ai pour ma part fait LastPass > bitwarden pour le prix > dashlane pour l’ui et l’autocompletion plus efficace sur mobile.
Dans tous les cas j’ai une yubikey NFC en complément mais aucun système n’est 100% sûr si l’on veut une ergonomie au top et un backup cloud/nas..


HerrFrance Abonné
Il y a 11 mois

Un truc que j’ai jamais compris avec ces clés c’est que se passe t’il si tu la perds ? Tu risques de ne plus accéder à tes autres mots de passes non ?
Ou alors il faut une seconde clé en duplicata ?


Akira78 Abonné
Il y a 11 mois

HerrFrance

Un truc que j’ai jamais compris avec ces clés c’est que se passe t’il si tu la perds ? Tu risques de ne plus accéder à tes autres mots de passes non ? Ou alors il faut une seconde clé en duplicata ?

Oui, il faut toujours enrôler 2 (voir 3 clefs) type Yubikey. En gros, tu en as une sur toi et l’autre bien au chaud chez toi. La 3e correspond à une sauvegarde externalisée que tu peux stocker chez de la famille ou quelqu’un de confiance, en cas d’incendie où tu dois quitter en urgence ton domicile sans rien emporter.



Au pire, il y a des codes de récupération, mais il faut les stocké à un endroit suffisamment sûr.


dvr-x Abonné
Il y a 11 mois

Akira78

Oui, il faut toujours enrôler 2 (voir 3 clefs) type Yubikey. En gros, tu en as une sur toi et l’autre bien au chaud chez toi. La 3e correspond à une sauvegarde externalisée que tu peux stocker chez de la famille ou quelqu’un de confiance, en cas d’incendie où tu dois quitter en urgence ton domicile sans rien emporter.

Au pire, il y a des codes de récupération, mais il faut les stocké à un endroit suffisamment sûr.

Comme lors de l’article du brief, les MDP sont chiffrés. Ils ont surtout volé des infos client en fait.
Sauf si certains mettaient des MDP dans des champs en clair, chose que j’ai déjà vu 😏



Au final c’est aussi contraignant que sûr.



J’ai des MDP identiques sur des boutiques en ligne qui n’enreigstrent pas la CB. Au final ça craint rien donc pas bien grave je trouve. Il faut prendre le critère risque/penibilite en compte je trouve.


Dakeyras Abonné
Il y a 11 mois

Akira78

Oui, il faut toujours enrôler 2 (voir 3 clefs) type Yubikey. En gros, tu en as une sur toi et l’autre bien au chaud chez toi. La 3e correspond à une sauvegarde externalisée que tu peux stocker chez de la famille ou quelqu’un de confiance, en cas d’incendie où tu dois quitter en urgence ton domicile sans rien emporter.

Au pire, il y a des codes de récupération, mais il faut les stocké à un endroit suffisamment sûr.

Comment c’est possible de s’authentifier avec 2 yubikhey differentes ? Je croyais qu’elles etaient uniques… J’ai du rater qqch…


Raromatai Abonné
Il y a 11 mois

Dakeyras

Comment c’est possible de s’authentifier avec 2 yubikhey differentes ? Je croyais qu’elles etaient uniques… J’ai du rater qqch…

Le principe est d’associer plusieurs yubikeys au compte (au cas où une serait indisponible : volée, perdue, pas à portée de main car dans un lieu séparée) mais pour s’authentifier, cela se fait avec une seule clef. En cas de vol, il est possible de résilier spécifiquement la clef perdue, ce qui empêchera le voleur de l’utiliser (pour les comptes du propriétaire légitime).


HerrFrance Abonné
Il y a 11 mois

Akira78

Oui, il faut toujours enrôler 2 (voir 3 clefs) type Yubikey. En gros, tu en as une sur toi et l’autre bien au chaud chez toi. La 3e correspond à une sauvegarde externalisée que tu peux stocker chez de la famille ou quelqu’un de confiance, en cas d’incendie où tu dois quitter en urgence ton domicile sans rien emporter.

Au pire, il y a des codes de récupération, mais il faut les stocké à un endroit suffisamment sûr.

Merci pour ta réponse. Il faudra que je creuse le sujet et que je trouve où/chez qui stocker ma sauvegarde physique.


ericse Abonné
Il y a 11 mois

HerrFrance

Merci pour ta réponse. Il faudra que je creuse le sujet et que je trouve où/chez qui stocker ma sauvegarde physique.

Le conseil le plus sensé que j’ai lu est d’utiliser un gestionnaire de mots de passe non cloud, éventuellement en stockant la base dans un cloud généraliste, afin d’éviter l’effet “jackpot” d’un cloud dédié aux mots de passe comme LastPass. Perso c’est KeePassXC + iCloud.


HerrFrance Abonné
Il y a 11 mois

ericse

Le conseil le plus sensé que j’ai lu est d’utiliser un gestionnaire de mots de passe non cloud, éventuellement en stockant la base dans un cloud généraliste, afin d’éviter l’effet “jackpot” d’un cloud dédié aux mots de passe comme LastPass. Perso c’est KeePassXC + iCloud.

Bonne remarque. Mais pour les objets physiques il faut quand même trouver un lieu sûr :D


étienne
Il y a 11 mois

+1 C’est vrai qu’un keepass local sauvegardé sur cloud c’est pas dégueu…


SebGF Abonné
Il y a 11 mois

(quote:2111649:étienne)
+1 C’est vrai qu’un keepass local sauvegardé sur cloud c’est pas dégueu…




N’oublions pas que le risque zéro n’existant pas, en cas de compromission du storage Claude, nous restons bons pour une valse de changements à tout va et une recréation de la base puisque l’actuelle sera réputée compromise.



Perso j’ai la double “sauvegarde” (car ça n’en est pas vraiment une) : le fichier principal synchro sur les différents appareils, et régulièrement sur l’un deux je la duplique localement. Si jamais le fichier venant du Claude est corrompu (keePassXC j’ai jamais eu le coup, mais le Keepass historique avait tendance à corrompre sa base à tout va…) j’ai une backup depuis laquelle je peux reprendre.



C’est une commande que j’ai mis en crontab de mes différents PC.


marba
Il y a 11 mois

Ne pas oublier que les gestionnaires de mot de passes sont un Point de défaillance unique et qu’une bonne gestion de mot de passe c’est :




  • avoir des mot de passes fort et différents pour chaque besoin (le gestionnaire de mot de passe est indispensable pour ça aujourd’hui)

  • changer régulièrement les mots de passe



Le deuxième point est très important, ça rend obsolète la corruption potentielle d’une base de donnée.



Le mot de passe maître doit être changé régulièrement en même temps que les mot de passe important contenu dans la base de mot de passe. Ça rend obsolète les corruptions de base.


fred42 Abonné
Il y a 11 mois

Si le mot de passe maitre est trop facilement devinable ou s’il a été utilisé sur d’autres services, il faut le changer sans attendre.



Pourquoi pas, mais ça ne protégera en rien la base qui a été récupérée par le pirate et qui dépendra toujours de l’ancien mot de passe maître.


belgotux Abonné
Il y a 11 mois

Une alternative plus conviviale que keepass est d’utiliser valtwarden (copie de bitwarden en local et plus léger que l’original qui proposait du mssql pour du local). Interface web, plugin firefox, compatible avec l’application android officiel de bitwarden, intégration parfaite pour compléter les champ des mots de passe. Il est super même en équipe pour de l’utilisation en web.
Après si c’est pour l’utilisation de centaines de mot de passe système et db, keepass reste plus fin pour les catégories. Mais le gros problème de keepass pour moi en pro c’est la gestion d’accès inexistante, ou alors il faut 1 fichier par groupe. Mais quand une info doit être dans 2 groupes, les ennuis commencent…


SebGF Abonné
Il y a 11 mois

marba a dit:


changer régulièrement les mots de passe




C’est un point qui est discutable pour moi. Un mot de passe généré par un gestionnaire aura moins de risques de finir dans un dictionnaire (vu que c’est une chaîne complètement random, perso j’aime bien bench justement les formulaires d’inscription avec ma règle par défaut à 69 caractères), et si celui-ci est unique à un service associé, son risque en cas de compromission se limite à ce service.



Egalement, on constate régulièrement dans les services informatiques que les politiques obligeant complexité et renouvellement régulier sont contre-productives : les utilisateurs finissent par mettre des valeurs simples avec une règle basique. S’pas compliqué, quand vous avez votre RDV dans une banque ou autre service et que la personne utilise un ordinateur, regardez les post-it. Perso j’ai identifié le même pattern {{entreprise}}{{date +ym}}! dans 5 entreprises différentes (assurance, concession auto, etc) en plus de celles chez qui j’ai presté et que j’ai eu à manipuler à un moment du poste utilisateur.



Par contre le conseil j’aurais à titre perso : toujours activer le MFA dès qu’il est disponible et impérativement sur les services les plus critiques (en gros : l’email, SPOF pour voler tous les accès au reste). Pour les trucs peu sensibles, je laisse KeepassXC générer le TOTP. Pour le reste, c’est MFA externalisé me concernant.



Et jamais de MFA par SMS/email sauf quand il s’agit de cas très exceptionnels (ex : DocuSign le fait pour démarrer une session).


pascal.petit Abonné
Il y a 11 mois

J’aurais plutôt dit : activer le 2FA et si c’est du TOTP, ne pas faire gérer le TOTP par l’outil de gestion de mot de passe pour ne pas avoir tout au même endroit. Les yubikeys peuvent stocker des TOTP ce qui permet de ne pas les avoir sur un système (potentiellement piratable) mais sur une clef qui l’est moins.



De la même façon, pour les mots de passe critiques (mail, banques, …) qui sont en nombre réduit, faire en sorte que le mot de passe stocké doivent être compléter par quelques caractères faciles à retenir. Ainsi, si quelqu’un a accès à l’intégralité de ce qui est stocké dans le gestionnaire de mot de passe, il ne peut se connecter avec sur ces services critiques. Avantage: du système: on a un mot de passe solide dont la partie complexe est dans le gestionnaire (et qu’on aurait été incapable de retenir sinon).



Pascal


marba
Il y a 11 mois

Alors oui quand c’est possible utiliser OTP ou des mécanismes de double authentification.



Mais pas d’accord avec le reste du message. Quand on utilise un gestionnaire de mot de passe, on peut régénérer un nouveau mot de passe fort complètement différent. Donc pour moi les politiques d’entreprises peuvent être respecter sans incrémenter le mot de passe. Et pour les mot de passe à taper manuellement (typiquement le login) on peut générer des passephrases (mot de passe assemblé de mots aléatoires).




C’est un point qui est discutable pour moi. Un mot de passe généré par un gestionnaire aura moins de risques de finir dans un dictionnaire




Ça n’est pas le sens de mon conseil. Le changement régulier de mot de passe est pour éviter une interception de mot de passe. Rien est infaillible, si ton PC/smartphone est vérolé et que tu l’utilises pour ton gestionnaire de mot de passe, tes mots de passe, même forts peuvent être interceptés sans que tu le saches. Changer régulièrement de mots de passe a pour but de rendre obsolètes rapidement tes mots de passe potentiellement interceptés.



Le mot de passe le plus important et le plus chiant à changer est le mot de passe de ton gestionnaire, qui doit être fort et que tu dois connaître par cœur. Pour tout le reste, tu peux le régénérer automatiquement.


marba
Il y a 11 mois

Un autre exemple, si ta base keepass est intercepté sur ton Claude, mais que le pirate n’a pas ton mot de passe principal, mais qu’il arrive à le casser au bout de 3 mois, et bien cette base ne lui servira à rien si tu changes tes mdp régulièrement.



Donc ces deux conseils sont les indispensables et ne vont pas l’un sans l’autre. Mdp fort + changement régulier.


pascal.petit Abonné
Il y a 11 mois

Bonjour,
j’utilise 1password qui dit chiffrer les données avec une clef déduite de 2 clefs :




  • une clefs longue crée localement, solide et non définie par l’utilisateur, inconnue de 1password : la secret key

  • un mot de passe défini par l’utilisateur inconnu de 1password



Donc si un de mes coffres se retrouver divulgué, il faut avoir la clef + le mot de passe utilisateur pour déchiffré le contenu du coffre.



Ce que je lis de lastpass, c’est que la connaissance du mot de passe défini par l’utilisateur suffit pour déchiffrer les coffres.



Est-ce bien ça ou ai-je mal compris ?


Buoux
Il y a 11 mois

Bon ben fini LastPass pour moi. Si je me souviens, dashlane n’en a jamais eu.


Adhrone
Il y a 11 mois

Rien eu du côté de dashlane en effet ni de bitwarden à voir ce que tu préfères :




  • bitwarden : moche, mutli-os, application de bureau, pas cher et open source, support anglais.

  • dashlane : superbe ui, code fermé, cher, support français, application de bureau uniquement sur mac os.


pascal.petit Abonné
Il y a 11 mois

Adhrone

Rien eu du côté de dashlane en effet ni de bitwarden à voir ce que tu préfères :

  • bitwarden : moche, mutli-os, application de bureau, pas cher et open source, support anglais.
  • dashlane : superbe ui, code fermé, cher, support français, application de bureau uniquement sur mac os.

J’utilise avec satisfaction 1password.


Adhrone
Il y a 11 mois

pascal.petit

J’utilise avec satisfaction 1password.

Testé c’est le plus joli mais je trouve l’organisation de l’uide l’extension bureau sur pc dégueulasse c’est une usine à clic et les prix 🤦
Pour 18€ j’ai eu dashlane+ vpn pour 1 an


bruce Abonné
Il y a 11 mois

Y’en a qui ont des retours sur Sticky Password ? Je m’en sers, mais je le vois jamais dans les comparatifs, ni dans les news de failles de sécurité :D.
Pour ma part il fait le job :) Mais j’aimerais bien avoir d’autres avis


fofo9012 Abonné
Il y a 11 mois

fred42 a dit:


Si le mot de passe maitre est trop facilement devinable ou s’il a été utilisé sur d’autres services, il faut le changer sans attendre.



Pourquoi pas, mais ça ne protégera en rien la base qui a été récupérée par le pirate et qui dépendra toujours de l’ancien mot de passe maître.




+1 Tout à fait ! C’est totalement inutile, il faut surtout changer tous les mots de passes inclus dans la base.


fofo9012 Abonné
Il y a 11 mois

article a dit:


Si vous ne l’avez pas encore activé, nous vous recommandons aussi d’activer l’authentification à deux facteurs.




Ça n’apporte aucune sécurité : si votre coffre a fuité, l’auth 2 facteurs n’apporte aucune sécurité supplémentaire, l’unique sécurité du coffre repose :
1: le mot de passe maitre suffisamment robuste
2: l’algo de chiffrement : SHA256 n’est pas encore obsolète mais c’est probablement le prochain sur la liste à tomber.