La sécurité de LastPass compromise, changez votre mot de passe maître

La sécurité de LastPass compromise, changez votre mot de passe maître

Et de deux !

88

La sécurité de LastPass compromise, changez votre mot de passe maître

Pour la seconde fois, LastPass a émis une « notification de sécurité » et invite ses utilisateurs à changer le mot de passe maître de leur coffre-fort numérique. Les données chiffrées des utilisateurs ne seraient par contre pas compromises.

Sur son blog, la société LastPass vient d'annoncer avoir été victime d'un problème de sécurité relativement important : « Nous souhaitons informer notre communauté que vendredi, notre équipe a détecté et bloqué immédiatement une activité douteuse sur notre réseau. D'après nos investigations, nous n'avons aucune preuve que les données chiffrées de nos utilisateurs ont été compromises, tout comme l'accès aux comptes des utilisateurs. Les investigations ont cependant démontré que les adresses e-mail des comptes LastPass, les indices de mots de passe, le salage et le hachage d'authentification ont été compromis ».

Mot de passe maitre chiffré compromis, les coffres-forts numériques seraient épargnés

D'après les déclarations de LastPass, les coffres-forts numériques des utilisateurs ne seraient pas concernés, ce qui fait dire à la société que « vous n'avez pas besoin de changer les mots de passe des sites enregistrés » dans ce dernier. La situation est par contre moins reluisante concernant le mot de passe « maitre ». Fort heureusement, il n'est pas enregistré en clair sur les serveurs de LastPass.

« Nous sommes confiants en nos mesures de chiffrement pour couvrir la protection de la majorité de nos utilisateurs. LastPass renforçant le hachage d'authentification par un salage aléatoire et 100 000 itérations côté serveur PBKDF2-SHA256, en plus de celles effectuées côté client. Ce renforcement supplémentaire rend difficile une attaque des données volées » précise la firme. Néanmoins, cela ne sert pas à grand-chose si votre mot de passe maitre est trivial, comme 123456789123456799passwordpassword1, etc. Mais là, le piratage de LastPass ne change pas grand-chose de toute façon. Dans tous les cas, il est recommandé de changer votre mot de passe maitre, d'en choisir un suffisamment fort et de ne surtout pas l'utiliser pour d'autres services.

Comptes utilisateurs verrouillés en cas de nouvelle connexion

En guise de protection contre d'éventuelles attaques de pirates, la société a verrouillé les comptes de ses utilisateurs : « Nous demandons à tout utilisateur se connectant depuis un nouvel appareil ou depuis une nouvelle adresse IP de valider en premier lieu leur compte via leur adresse e-mail, à moins que vous n'utilisiez l'authentification multi-facteur ». 

Cela reste un coup dur pour LastPass, d'autant que ce n'est pas la première fois qu'une telle mésaventure arrive. Pour rappel, en mai 2011, la société avait demandé à ses clients de changer leur mot de passe maitre, ce qui avait d'ailleurs posé quelques soucis puisque le trafic avait augmenté de manière considérable et que le service n'arrivait plus à l'absorber. Comme il y a quatre ans, LastPass ajoute qu'elle travaille « avec les autorités et des experts en sécurité » sur cet incident dont l'origine n'a pas été évoquée.

Commentaires (88)


Voilà pourquoi j’ai toujours des réticences à utiliser de tels services et centraliser tous mes mots de passe. Le jour où le système est compromis, tu pleures. Peut-être devrais-je regarder du côté de KeePass qui est local, je ne sais pas, car c’est quand même bien pratique.


Qu’en est il niveau sécurité des password sauvegardé via firefox Sync?


Dashlane est une alternative viable ? KeePass a l’avantage d’être open source, c’est pas rien.


Sinon il existe 1password qui a l’avantage de ne pas etre en ligne.


@Vekin: pour moi KeePass répond à toutes les attentes, il peut être local ou “cloudifié”, selon comme on l’utilise.



On peut dupliquer sa base de mots de passe où on veut et en autant d’exemplaires que souhaité car la synchro est quasi transparente (chaque sauvegarde est une fusion en réalité).


c’est une hérésie de mettre ses mots de passe sur une plateforme externe alors qu’un simple keepass est nettement plus secure <img data-src=" />


Le soucie c’est que ca fait des années que je me souviens plus de mon mot de passe maitre chez LastPass… Apres suis passé au gestionnaire de mot de passe de google, ce dernier c’est certes une pieuvre, mais au moins je peux lui faire confiance <img data-src=" />



LastPass c’etait surtotu a l’epoque des firefox avant que ca devienne la course au versionning, la bonne epoque ou y avais pas encore chrome <img data-src=" />


C’est bien d’annoncer ce genre de chose.



Le problème dans la sécurité, c’est que la transparence est fondamentale. Or, quand il t’arrive une bricole et que tu l’annonces car tu es professionnel, tu passes pour un gignol.

Et si un concurrent n’annonce jamais rien, on sait pas si c’est parce qu’il est un escroc sans scrupule ou si c’est pas qu’il est tellement fort qu’il n’a pas été compromis.


Ouais sauf que keepass est tres mal porté sous linux et macosx, n’existe pas sur smartphone et il ne s’integre pas aux navigateurs.



Keepass, c’est bien mais c’est un peu limité quand meme…








Vekin a écrit :



Voilà pourquoi j’ai toujours des réticences à utiliser de tels services et centraliser tous mes mots de passe. Le jour où le système est compromis, tu pleures. Peut-être devrais-je regarder du côté de KeePass qui est local, je ne sais pas, car c’est quand même bien pratique.





Absolument. Pour le point 1 je suis pareil, pour keepass j’en suis satisfait (même si j’en quasi pas usage pour le moment)



J’ai envie de dire : oui la sécurité a été compromise à un moment donné mais la société communique et prend les mesures pour empêcher tout utilisation frauduleuse derrière…. ce n’est pas le cas de tout le monde !


J’étais content en lisant leur mail de bon matin.


J’étais content en lisant leur mail de bon matin.


Oui, enfin si on utilise un password maître digne de ce nom, qu’on a activé la double authentification sur son compte Lastpass, et qu’on lit attentivement l’article de blog, il n’y a vraiment pas de raison de s’inquiéter…

&nbsp;

Si à chaque fois qu’un éditeur de ce type qui communique de manière transparente perd des milliers d’utilisateurs parce-que les gens ne font pas l’effort de comprendre et paniquent, alors le silence sera fait sur ce genre de choses et ce sera bien pire.








KP2 a écrit :



il ne s’integre pas aux navigateurs.





euh… si, personnellement je l’utilise avec firefox. Il y a une extension.



Quid de l’intégration avec Android ?








Folgore a écrit :



google, … au moins je peux lui faire confiance



Tiens, un <img data-src=" />







Mr.Nox a écrit :



J’étais content en lisant leur mail de bon matin.







Mr.Nox a écrit :



J’étais content en lisant leur mail de bon matin.



Tu étais très content donc.



+1 pour KeePass.

ma base est hébergé sur un ftp perso invisible sur le net et mes mots de passes sont synchronisé avec mon pc fixe sous win7, mon C720p sous debian et mon note 3 sous android.

C’est tellement simple et efficace que je ne comprends pas du tout le succès de lastpass qui en plus est payant si on veut le débridé.



Je ne veux pas dire de bêtises, mais il me semble que c’est leur 2e fuite de l’année. ça met pas du tout en confiance …


Il existe un utilitaire Keepass sur WP, donc je suppose qu’il existe aussi sur les autres plateformes.



En tout cas, j’utilise Keepass et il répond complètement à mes attentes.

Je n’oserais pas utiliser ce type de logiciel propriétaire et dont tu ne sais rien. Avec Keepass tu te debrouilles tout seul, c’est peut être un peu moins userfriendly mais c’est top.


keepass s’integre avec tout les navigateurs grace à ses plugins et fonctionne parfaitement bien sous toute les distribution linux, pour peux qu’on installe mono-complete correctement. Je l’utilise tout les jours avec chromium et iceweasel



Et pareil sous android avec un note 3


Les gestionnaire de mot de passe en ligne sont quand même une belle aberration niveau sécurité.

&nbsp;&nbsp;

&nbsp;J’attend le jour où dashlane se fera tipiak ….








Vekin a écrit :



Voilà pourquoi j’ai toujours des réticences à utiliser de tels services et centraliser tous mes mots de passe. Le jour où le système est compromis, tu pleures. Peut-être devrais-je regarder du côté de KeePass qui est local, je ne sais pas, car c’est quand même bien pratique.





J’utilise KeePass et c’est vraiment bien. Surtout avec l’appli android pour avoir tout tes mdp avec toi.

&nbsp;

Après pour synchroniser, j’utilise onedrive avec identification double facteur.



Je connaissais lastpass de nom, mais j’halucine de découvrir qu’on peut ne pas rester maitre de ses mots de passe.

Les stocker sur un serveur c’est une hérésie. #singlepointoffailure


… et c’est pourquoi j’utilise KeePass depuis des années.

Je l’ai sur mes différents PC, et sur mon Windows Phone.

Et je suis tranquille ;-)


ah? pourtant je l’utilise au quotient sur linux mint et mon nexus 5, le tout synchroniser en webdav (owncloud). Alors ce n’est peut être pas natif, mais chaque partie fait son taf de façon indépendante et ça marche du tonnerre.


Perso j’utilise KeePass en local, en synchro avec mon Syno : pas de problème et de risque de sécurité <img data-src=" />








Vekin a écrit :



Voilà pourquoi j’ai toujours des réticences à utiliser de tels services et centraliser tous mes mots de passe. Le jour où le système est compromis, tu pleures. Peut-être devrais-je regarder du côté de KeePass qui est local, je ne sais pas, car c’est quand même bien pratique.





+1 pour keepass. et je m’en sert avec android aussi en partageant la base depuis mon serveur.



J’utilise lastpass pour pouvoir avoir acces a mes mots de passe entre mes differents ordis. Des collegues ont 1password, et d’autres synchronisent via dropbox. Donc un moment ou une autre les mots de passes sont qq part.

Pour ftp perso ou cloud perso, il faut les competences et mettre ca en place. Si ce n’est “que” pour des mots de passes ca fait un peu beaucoup.

Je vais regarder keypass avec onecloud (dans les commentaires), meme si ca veut dire que les mots de passes seraient chez microsoft.


Par contre je n’ai pas le recu le mail.


+1, merci pour ce commentaire plein de bon sens !



La double authentification apporte vraiment une bonne protection pour ce genre de problème. Je peste souvent quand je me connecte à Lastpass sur un nouvel ordi et que je dois sortir ma petite grille pour confirmer mon authentification, mais c’est un moindre mal comparé à la protection que ça apporte <img data-src=" />


C’est marrant tout ses messages, mais quand tu es en déplacement, sur un pc sur lequel tu n’es pas admin, tu fait comment avec keepass ? Et puis tout le monde n’a pas la capacité d’héberger ce genre de service à la maison, sur un NAS ou autre.

&nbsp;

C’est courageux de la part de lastpass de communiquer sur le sujet ; même si&nbsp; j’étais moyen content de voir ce courriel de bon matin ; )


J’envisage aussi l’utilisation de KeePass mais la synchronisation me pose problème.

&nbsp;Tu entends quoi par “invisible sur le net” ?


Voilà une bonne raison de ne pas centraliser ses mots de passe, mais d’en avoir un ou deux, avec variantes. Genre une partie centrale identique pour tous les mots de passes, et une ou deux lettres qui changent en fonction du service concerné.

&nbsp;

Exemple :

&nbsp;




  • base : GR12RI (facile à retenir : “grain de riz” en SMS)

    &nbsp;

  • site : next-impact.com

    &nbsp;

    -&gt; mot de passe = GR1ni2RI

    &nbsp;

    &nbsp;

    Bref, rien à retenir, et on peut faire un tas de variantes pour chaque service, et utiliser une base plus robuste si besoin.


J’utilise lastpass car ça permet d’accéder à ses mots de passes partout simplement.

Avec la double identification par yubikey ou grille, je suis plutôt confiant au niveau sécurité.

Puis voir une boite être transparente sur les tentatives d’intrusions je trouve ça plutôt possitif. Ça change de Sony :p








Folgore a écrit :



Le soucie c’est que ca fait des années que je me souviens plus de mon mot de passe maitre chez LastPass… Apres suis passé au gestionnaire de mot de passe de google, ce dernier c’est certes une pieuvre, mais au moins je peux lui faire confiance <img data-src=" />





google…… confiance…….. failed!









lorenzo8500 a écrit :



c’est une hérésie de mettre ses mots de passe sur une plateforme externe alors qu’un simple keepass est nettement plus secure <img data-src=" />





Ce qui n’est pas sûr (du tout du tout), c’est d’utiliser une poignée de mots de passe pour tous les sites.

&nbsp;

Ce qui n’est pas sûr, c’est un mot de passe tel que “Xr87&*+O=&É” plutôt que “Bonjour_Les_Choupinous!Ça+Gazouille?Alors tout va bien”.

&nbsp;

Mais surtout, ce qui est bien naïf, c’est de croire que son ordi est plus sûr qu’un hébergement en ligne (même si keepass fournit de bons mécanismes, encore faut-il les utiliser).

&nbsp;

J’utilise KeePass depuis une éternité. Parce qu’il existait sur Palm Pilot (traduction : le truc avec les smartphones pour jouer à Bejeweled) et vaguement linux, puis partout.

&nbsp;

Pourquoi je suis abonné à LastPass ? Parce qu’ils fournissent des mécanismes d’authentification satisfaisant (notamment TOTP et token), parce que je gère quelques centaines de mots de passe très longs pour le web, tous différents, parce qu’il n’insère bien dans Firefox Android, parce que je crée et mémorise un mot de passe en un clic. Et parce qu’à l’époque (je ne sais pas si ça a changé, mais l’absence d’auth sérieuse est rédhibitoire)&nbsp; les mots de passe Firefox était en clair ou quasiment.

&nbsp;

Les va-et-vient KeePass -&gt; Firefox, l’absence d’autocomplétion et de création simple dans ce dernier (forcément, l’outil n’est pas fait pour ça) le rende utile pour les mots de passe machine (ssh par exemple).









DayWalker a écrit :



Voilà une bonne raison de ne pas centraliser ses mots de passe, mais d’en avoir un ou deux, avec variantes. Genre une partie centrale identique pour tous les mots de passes, et une ou deux lettres qui changent en fonction du service concerné.

&nbsp;

Exemple :

&nbsp;




  • base : GR12RI (facile à retenir : “grain de riz” en SMS)

    &nbsp;

  • site : next-impact.com

    &nbsp;

    -&gt; mot de passe = GR1ni2RI

    &nbsp;

    &nbsp;

    Bref, rien à retenir, et on peut faire un tas de variantes pour chaque service, et utiliser une base plus robuste si besoin.





    Technique très tendance, comme le fût le “Zricv(=/GF\(^ù\\)”, lamentable niveau sécurité . Un simple site qui laisse les mots de passe en clair dans sa base, volontairement ou pas, on récupère ce mot de passe d’une incroyable complexité et au pige en moins de 3 secondes le mécanisme.

    &nbsp;

    C’est très bien pour les inscriptions sur marmiton et fan-de-tuning, mais pas sérieux pour le reste.









cacadenez a écrit :



Ce qui n’est pas sûr (du tout du tout), c’est d’utiliser une poignée de mots de passe pour tous les sites.

&nbsp; &nbsp;





et pour quelle raison?

&nbsp;



ca fait 18 ans que j’utilise des mots de passe assez simples, certains en commun sur plusieurs sites, et je n’ai aucun problème. Le piratage de mot de passe, y a pas 50 solutions : c’est soi le serveur du site qui s’est fait pirater et bye bye ton mot de passe, soi tu t’es chopé un keylogger et bye bye la aussi tes mots de passe. Dans les 2 cas, la longueur / complexité du mot de passe n’a rien à voir.

Faut juste éviter les mots de passe de noob du genre “bonjour” ou “123456”

&nbsp;

Bref, tout ca pour dire que ce genre de service lastpass and co jouent souvent sur la peur pour vendre leurs services.



Bien sûr, bien sûr… Eh bé, y’a encore du boulot à faire !



&nbsp;Pour info, les deux outils dont on parle - si on sait s’en servir, j’en reviens donc au problème - ne sont pas (vraiment) sensibles au keylogger.



&nbsp;Et pour info aussi, un mot de passe correctement salé et hashé (c’est presque de la boucherie :)) en base risque bien moins qu’un en clair chez toi.








Vekin a écrit :



Quid de l’intégration avec Android ?







Pour ça j’utilise Keepass2Android (il existe au moins un autre port) dont je suis entièrement satisfait.



Tout dépend de ta base. Si ca te chante, tu peux utiliser #47gr?µlaZcr (ce qui inclue caractères spéciaux, nombres, alphabet, et la casse)



&nbsp;      

... et remplacer la troisième et 8e lettre par exemple, en prenant au lieu de "n" et "i", les lettres "m" et "h" par exemple (après/avant dans l'alphabet). Ou bien utiliser le nombre de lettres du domaine concerné... bref, ya l'embarras du choix. Tu n'es pas obligé d'utiliser une modification "simple". Et sans connaitre différentes variantes du mot de passe, il n'est pas forcément évident de détecter la racine de la partie variable.

&nbsp;






Ce qui compte c'est de retenir sa petite recette.







jeje07 a écrit :



ca fait 18 ans que j’utilise des mots de passe assez simples, certains en commun sur plusieurs sites, et je n’ai aucun problème.



My God, je l’avais loupée celle-là ! BIG TROLL INSIDE !

&nbsp;“Avant de mourir d’un accident de moto sans casque, il était en pleine forme et l’absence de casque ne lui a jamais été délétère ! Comme quoi c’est juste le destin.”









X-Javier a écrit :



C’est marrant tout ses messages, mais quand tu es en déplacement, sur un pc sur lequel tu n’es pas admin, tu fait comment avec keepass ?







Il tourne parfaitement en mode portable sur une clé USB (j’ai personnellement opté pour un modèle avec cryptage hardware intégré et supportant le mode lecture-seule, et j’y synchronise ma base de mots de passe quand j’y accède sur mon propre PC (ça peut se faire automatiquement via le mécanisme de “trigger” de Keypass)



un vps à 2€ sous debian installé en lowend, sans service http. et je n’ai jamais communiqué l’adresse à personne.



il faut l’adresse, le login et le mot de passe du ftp, ensuite il faut casser le mot de passe de la base et trouver un moyen de remplacer le fichier clef qui lui n’est pas en ligne.



de plus le vps me prévient immédiatement par email à la moindre tentative de connexion y compris les miennes. et certains à jour à certaines heures le service ftp est carrément éteint automatiquement, puisque je sais que je n’en ai pas besoin. ( et si un jour j’en ai besoin je le rallume en ssh )


Ben si tu as un smartphone, tu as juste à transférer ta BDD dessus et voila, lorsque tu es en déplacement tu as tout sous la main. Si tu n’as pas de smartphone, là je peux comprendre que ça devient lourd.

&nbsp;

Mais je ne vois pas où est la difficulté. C’est peut être un peu moins facile d’utilisation que Lastpass mais tellement plus contrôlable.








cacadenez a écrit :



My God, je l’avais loupée celle-là ! BIG TROLL INSIDE !

&nbsp;“Avant de mourir d’un accident de moto sans casque, il était en pleine forme et l’absence de casque ne lui a jamais été délétère ! Comme quoi c’est juste le destin.”





mais encore?

&nbsp;et ca serait pas mal de citer mon message en entier….. voire de le lire en entier.



Il est ou le rapport avec le fait de centraliser tes mots de passe dans une base de données/systemes accessible en ligne ?

&nbsp;

&nbsp;Tu auras beau avoir 400 mécanisme d’authentification couplés si la base de données se fait pirater ça n’y changera rien, ou pire une faille dans leur API qui permettrait de se faire passer pour un autre utilisateur, une attaque MITM à la superfish également.








KP2 a écrit :



Ouais sauf que keepass est tres mal porté sous linux et macosx, n’existe pas sur smartphone







KeePassDroid, je sais pas si c’est une appli officielle, mais ça marche bien.



Keepass existe sur smartphone et tu peux partager ta base KDBX via dropbox dans un répertoire crypté.

Je ne vois pas en quoi KeePass est limité ! un exemple ?


J’ai un porte-clef avec une clef USB, ma base est dessus pour les déplacements (de temps en temps une syncro manuelle et rulz).



Toujours des solutions, mais faut accepter certaines contraintes ou choisir une sécurité moindre, c’est au choix de l’user =)








cacadenez a écrit :



My God, je l’avais loupée celle-là ! BIG TROLL INSIDE !

&nbsp;“Avant de mourir d’un accident de moto sans casque, il était en pleine forme et l’absence de casque ne lui a jamais été délétère ! Comme quoi c’est juste le destin.”



Ce qui n’est en rien une preuve qu’il ait tord. Car le tord tue.

Combien de personnes ont eu leur mdp balancé en clair, quelle que soit la complexité?

Je plussoie ton interlocuteur, qui n’affirme pas que la méthode est sécurisée, mais que le risque est infime.

En face on a des théories d’insertion d’initiales au milieu d’un charabia: ces mots de passe sont tout aussi hackables.

&nbsp;

&nbsp;J’aurai plutot tendance à dire que c’est toi qui trolle, à aucun moment il n’a dit que les mots de passe étaient inutiles. Bref.



Il m’est arrivé à plusieurs reprises de tomber sur des PCs (entreprise) avec les ports USB désactivés par mesure de sécurité… :/

&nbsp;



&nbsp;J’utilise personnellement lastpass avec la double authentification… J’ai changé mon pass maitre par acquis de conscience…

&nbsp;

L’ergonomie de lastpass est quand même pour moi inégalée actuellement…


Ma base est aussi sur un serveur où j’ai accès en ligne, mais c’est plus long que ma clef (connexion, double authentification), j’ai pallié un certains nombres de blocage, mais après si tu as un filtre web + désactivation des ports USB, oui je suis mal ^^


Je n’ai peut-être pas bien compris la news, mais elle parle de compromission au niveau du mot de passe maître uniquement. Mon commentaire portait sur ce type de problème, et dans ce cas LastPass précise (libre à chacun de les croire) que les données encryptées (et donc les mots de passe des sites) n’ont pas été volées.



L’authentification multifactorielle permet de renforcer la sécurité de l’accès via le mot de passe maître, mais elle n’est pas infaillible on est d’accord !








dematbreizh a écrit :



Ce qui n’est en rien une preuve qu’il ait tord. Car le tord tue.

Combien de personnes ont eu leur mdp balancé en clair, quelle que soit la complexité?

Je plussoie ton interlocuteur, qui n’affirme pas que la méthode est sécurisée, mais que le risque est infime.

En face on a des théories d’insertion d’initiales au milieu d’un charabia: ces mots de passe sont tout aussi hackables.

&nbsp;

&nbsp;J’aurai plutot tendance à dire que c’est toi qui trolle, à aucun moment il n’a dit que les mots de passe étaient inutiles. Bref.





&nbsp;

<img data-src=" />









Folgore a écrit :



&nbsp;Apres suis passé au gestionnaire de mot de passe de google, ce dernier c’est certes une pieuvre, mais au moins je peux lui faire confiance <img data-src=" />





Je savais pas que c’était possible ça, confiance et google dans la même phrase <img data-src=" />

<img data-src=" /><img data-src=" />

&nbsp;

&nbsp;Pas pour moi en tout cas. Comme on le dis toujours, on est jamais mieux servi que par soit même, et keepass le fait très bien ^^









Boss Bravo a écrit :



Je savais pas que c’était possible ça, confiance et google dans la même phrase <img data-src=" />

<img data-src=" /><img data-src=" />

 

 Pas pour moi en tout cas. Comme on le dis toujours, on est jamais mieux servi que par soit même, et keepass le fait très bien ^^







Bon outre la vente et exploitation de nos données, memes les plus sensibles, je me dis qu’ils ont mis quand meme les moyens pour que ca ne sort pas de chez eux… mais bon, les voix de Dieu sont pas toujours impénétrables <img data-src=" />



Je te conseille de jeter un œil du coté de duo security, gratuit pour moins de 10 users avec divers modes de validation sur smartphone, dont du push !








X-Javier a écrit :



C’est marrant tout ses messages, mais quand tu es en déplacement, sur un pc sur lequel tu n’es pas admin, tu fait comment avec keepass ? Et puis tout le monde n’a pas la capacité d’héberger ce genre de service à la maison, sur un NAS ou autre.

&nbsp;

C’est courageux de la part de lastpass de communiquer sur le sujet ; même si&nbsp; j’étais moyen content de voir ce courriel de bon matin ; )





Au boulot, on utilise Keepass sur une Ironkey et aucun problème lors des déplacements.



J’ai du mal à saisir le raisonnement qui amène à penser que stocker ses mots de passe en ligne est une bonne idée…



Perso j’utilise Safeincloud, il existe une version Windows, Android, OSX, iOs et des plugins pour Firefox & Chrome.

&nbsp;La base de donnée est cryptée avec un mot de passe maître et est stockée sur Dropbox/Google Drive/One drive au choix.

&nbsp;Dès qu’il y a une modif c’est automatiquement synchronisé et transparent pour le user.

&nbsp;Le plus safe est d’ajouter une double authentification sur le compte ou est stocké la bdd.

&nbsp;

&nbsp;Je l’utilise depuis 1 an maintenant et c’est le gestionnaire de password le plus simple et pratique que j’ai testé.


Moi pour l’instant j’utilise l’option intégré gratuite qui est la matière grise et la mémoire intégrée et &nbsp;biologique.

&nbsp;

&nbsp;Je verrai pour lostpass et ses cousins, si l’Alzheimer se manifeste un jour …


<img data-src=" />


Encore un service que je découvre…


De toute facon, les mots de passe, ce sera bientôt dépassé, Microsoft va faire l’authentification avec la forme de notre trou de c..&nbsp;&nbsp;&nbsp; comme Google le fait déja








chris.tophe a écrit :



De toute facon, les mots de passe, ce sera bientôt dépassé, Microsoft va faire l’authentification avec la forme de notre trou de c..&nbsp;&nbsp;&nbsp; comme Google le fait déja







Et celui d Apple c est ton empreinte digitale reliée directement à ton compte en banque.



pour la sécurité de Sync, je ne sais pas mais la sécurité des MDP dans firefox est juste une blague.

&nbsp;

Copie les fichiers signons.sqlitelogins.json&nbsp; key3.db et places.sqllite d’un autre profil&nbsp; firefox dans ton profil (au sauvegardant les tiens évidements.

Ensuite, direction Option &gt; sécurité &gt; mots de passe enregistré &gt; voir les mdp : le Top


Même avec un mot de passe maître ?

&nbsp;

Sinon, je fais partie des utilisateurs LastPass+Yubikey, et même si j’aurais préféré qu’ils fournissent de quoi héberger son propre serveur (quitte à perdre quelques fonctionnalités) le fait de savoir que tout est fortement crypté avant de quitter mes postes (et qu’ils ne peuvent à priori rien décrypter eux-mêmes) me suffit.



Mais il reste quelques zones bizarres, notamment la possibilité de bypasser la double authentification sur certains postes ou appareils choisis : un attaquant n’aurait qu’à faire passer son poste pour un poste autorisé ?



Je passerai probablement plus tard sur KeePass (qui a aussi un plug-in pour la double authentification), mais pour l’instant je suis assez satisfait.


Oui mais là on est plus dans de la solution facile d’accès à mettre en place pour soi dans un cadre personnel. Comparée a ce que requiert comme connaissance la création d’un compte sur un service en ligne.



Et puis qu’est-ce qui rend plus sûr ta clef usb ?








Butler5 a écrit :



pour la sécurité de Sync, je ne sais pas mais la sécurité des MDP dans firefox est juste une blague.

&nbsp;

Copie les fichiers signons.sqlitelogins.json&nbsp; key3.db et places.sqllite d’un autre profil&nbsp; firefox dans ton profil (au sauvegardant les tiens évidements.

Ensuite, direction Option &gt; sécurité &gt; mots de passe enregistré &gt; voir les mdp : le Top





T’as pas oublié de définir un mot de passe principal toi?

&nbsp;

&nbsphttps://github.com/lclevy/firepwd/blob/master/mozilla_pbe.pdf



Merci pour les réponses;) Faut que je vérifie tout ça. J’ai que moyennement confiance en KeePass ou équivalents. Je regarderais plus en détail dès que j’ai un moment.


JAMAIS je ne confierai mes mots de passe à un tiers, et en plus avec des comptes synchronisés ! <img data-src=" />



&nbsp;Le peu de mdp que j’ai mémorisés sont dans Firefox et ne concernent que des forums, rien d’important, le reste se trouve sur un fichier isolé dans mon PC.

&nbsp;

D’ailleurs je ne confierai jamais rien à un tiers, cloud ou autre.


Si les bases de données sont chiffrées c’est pas pour rien…



 &nbsp;       






 &nbsp;Moi perso je commencerai à paniquer le jour où les données potentiellement récupérées seront exploitables. Et si par je ne sais quelle manières les "voleurs" y arrivent: les mots de passes auront été changés bien avant.       

&nbsp;

Donc ya aune raison de paniquer ou de crier au scandale contre lastpass.... C'est pas tellement l'attaque en elle même qui est inquiétante. Y en à partout et tous les jours. Même mon kimsufi pas connu est testé en permanence.... Ce qui est important c'est la façon dont réagit l'attaqué. Ils ont réagi rapidement, demandé le changement de mot de passe maître et mis en place un système de sécurité pour les login potentiellement non autorisés: fin de l'histoire.



&nbsp;

&nbsp;De toute façon perso, mot de passe changé régulièrement + yubikey = pas vraiment de soucis à se faire.


Merci pour ces précisions, ça me paraît une bonne solution. :)


MDR ! <img data-src=" />



Enjoy THE Cloud. <img data-src=" />



KeePass , KeyPass, qui passe, la classe …. <img data-src=" />








jeje07 a écrit :



et pour quelle raison?

&nbsp;



ca fait 18 ans que j’utilise des mots de passe assez simples, certains en commun sur plusieurs sites, et je n’ai aucun problème. Le piratage de mot de passe, y a pas 50 solutions : c’est soi le serveur du site qui s’est fait pirater et bye bye ton mot de passe, soi tu t’es chopé un keylogger et bye bye la aussi tes mots de passe. Dans les 2 cas, la longueur / complexité du mot de passe n’a rien à voir.

Faut juste éviter les mots de passe de noob du genre “bonjour” ou “123456”

&nbsp;

Bref, tout ca pour dire que ce genre de service lastpass and co jouent souvent sur la peur pour vendre leurs services.





&nbsp;



Effectivement, soit c’est toi qui te fait pirater, soit c’est le site.

&nbsp;

&nbsp;Si le site se fait pirater,&nbsp; “bye bye le mdp” , tu as raison, mais cela n’est pas inutile pour autant.

&nbsp;

&nbsp;Sur le site,&nbsp; soit c’est du

1)Clair (au bûcher hérétique)




  1. chiffrement : ce qui équivaut a du “en clair” si intrusion il y a (l’attaquant peut récupérer la clef, qui sait)

  2. hash

  3. hash + salt

    &nbsp;

    Dans tout les cas on change le mot de passe , dans le 1 et 2 c’est par obligation, dans le 3 et (surtout) 4 par mesure de précaution.

    &nbsp;

    Là ou je veut en venir c’est que , si hash il y a&nbsp; (cas 34), il faut que l’attaquant fasse du bruteforce ou de l’attaque par dico ou…. emploie des hashtables :)



    &nbsp;Et dans ces cas là, la complexité du mot de passe peut sérieusement compliquer la découverte de celui-ci.

    &nbsp;Même si cela ne fait que la retarder, c’est toujours un plus.



    &nbsp;Cela laisse le temps de changer son mot de passe, corriger la faille…voir tout simplement la découvrir <img data-src=" />

    &nbsp;

    Et sur les keyloggers… cela n’est plus trop à la mode. Aujourdhui, les logins+mots de passe sont lut directement là où vous les stockez (Navigateur, Client mail, etc )&nbsp; la plupart du temps.

    &nbsp;

    &nbsp;



Je m’en sers depuis longtemps sous Linux, j’ai pas eu de problème.

&nbsp;

Pour l’intégration au navigateur il y a un plugin qui s’appelle KeePassHttp. C’est un peu chiant à configurer, mais après ça tourne bien.

&nbsp;

https://github.com/pfn/keepasshttp/


Pour faire comme tout le monde, voici la solution que j’utilise.



Keepass avec fichier de clé + passphrase. Synchronisé en WebDAV sur le synology de la maison.



Le fichier de clé n’est stocké que sur les équipements finaux et non sur le synology.



Le WebDAV n’est accessible que depuis mon lan. Il suffit juste de lancer de temps en temps kypass (iOS) pour récupérer la dernière version du fichier des mot de passe quand je suis à la maison ou bien si j’ai ajouter un mot de passe dans mon tel pendant que je n’était pas chez moi.



Pour moi je trouve que c’est un bon compromis entre sécurité et pratique.



J’ai aussi mis un nombre d’iteration assez élevé sur la passphrase afin que la clé de chiffrement dérivé prenne environ 2 seconde a être calculer . Ce qui fait que même si on me vole le fichier keepass et le fichier clé, ça prendra a l’attaquant 2 secondes de calcul cpu par essai de bruteforce. Soit un temps quasiment infini en 2015 pour déchiffrer le fichier keepass.



Le fichier keepass contient une centaine de mot de passe différent, ainsi que des clé privée ssl, clé ssh et quelques document important genre accuse réception des impôt.



Si on respecte bien la séparation fichier base de donné keepass et fichier de clé, la base de donné pourrait se trouver en base64 sur Facebook que ça n’en serait pas moins sécurisé.



My 2cts








jeje07 a écrit :



et pour quelle raison?

&nbsp;



ca fait 18 ans que j’utilise des mots de passe assez simples, certains en commun sur plusieurs sites, et je n’ai aucun problème. Le piratage de mot de passe, y a pas 50 solutions : c’est soi le serveur du site qui s’est fait pirater et bye bye ton mot de passe, soi tu t’es chopé un keylogger et bye bye la aussi tes mots de passe. Dans les 2 cas, la longueur / complexité du mot de passe n’a rien à voir.

Faut juste éviter les mots de passe de noob du genre “bonjour” ou “123456”

&nbsp;

Bref, tout ca pour dire que ce genre de service lastpass and co jouent souvent sur la peur pour vendre leurs services.





Sauf qu’en utilisant un mot de passe commun à plusieurs site: si ton mot de passe tombe sur un site il pourra servir pour accéder aux autres… Et ça c’est couramment utilisé.

&nbsp;

&nbsp;D’où l’utilité d’avoir un mot de passe différent pour chaque site. Un mot de passe qui tombe ne compromet pas les autres.&nbsp;

&nbsp;

&nbsp;Et pour éviter, dès le départ qu’un mot de passe tombe trop facilement il est conseillé d’utiliser une combinaison alphanumérique aléatoire et assez longue. Les attaques par force brute c’est pas que dans les films. J’en ai tous les jours sur mon propre serveur… &nbsp; Très souvent les hackers se basent sur des dictionnaires de mots de passe communs ou/et existants.



Pour ma part j’utilise Lastpass depuis 5 ans et cette news ne m’a pas fait assez peur pour me faire aller chez la concurrence. Bien au contraire, je préfère qu’une société indique clairement avoir été victime d’une attaque que d’avoir droit à un silence pour éviter de perdre des utilisateurs.

&nbsp;

&nbsp;De toute façon mon lastpass contient un mot de passe avec majuscule, minuscule, caractères spéciaux et chiffres et le tout est en double authentification avec une Yubikey.

&nbsp;

&nbsp;J’ai testé Dashlane et en plus du prix prohibitif à l’année, il est loin de valoir Lastpass. Le client est certes joli mais il est lourd et la double authentification se limite à Google authentificator.

&nbsp;

&nbsp;L’une des options de Lastpass que j’apprécie est la limitation de connexion depuis le réseau Tor et la limitation par IP de pays. Certes c’est contournable via un VPN mais c’est une couche de sécurité en plus.

&nbsp;&nbsp;

&nbsp;De toute façon quelque &nbsp;soit la méthode utilisée (online / offline / mémoire biologique), il y aura toujours un manque de sécurisation ou des failles.

&nbsp;

&nbsp;En parlant de double authentification, quelqu’un peut me dire pourquoi Paypal n’est pas foutu de proposer une authentification à double facteur pour ses utilisateurs français ? &nbsp;<img data-src=" />


Ca me fait un peu sourire de voir tout ceux qui se vantent d’auto héberger leur fichier de mot de passe, que ce soit sur un serveur dedié, sur un NAS ou meme sur leur PC.

&nbsp;

Ayant un Linux dédié sur le net, je suis moi aussi adepte de l’hébergement ‘maison’, mais je pense honnêtement que mon serveur ne tiendrais que quelques minutes face un hacker moyen.

&nbsp;

Ne pas utiliser les services cloud apporte de la tranquilité par rapport à la confidentialité et l’utilisation des données. Par contre, je pense que les LastPass, Google, Amazon & co sont plus compétents que le geek du coin pour sécuriser des données.&nbsp; Je ne me rappelle plus quel bloggeur (Korben ?) s’était fait hacker son compte email, ‘auto hébergé’ sur un de ses serveurs. Et comme on sait, compte email hacké -&gt; Accès à tous les autres comptes.

&nbsp;

J’utilise LastPass depuis 1 an et pour l’instant j’en suis très satisfait. Bien sur c’est comme le reste, il faut de temps en temps changer le mot de passe maitre, et bien sur changer les mots de passe sensibles (email, paypal etc), et c’est tellement simple a faire avec LastPass.


Moi, je ne suis pas expert en cryptographie,&nbsp; je reste sur des considérations basiques. Les motivations restent les mêmes que l’on soit dans le monde physique ou dans le cyber-espace. Un gros coffre-fort collectif attirera toujours plus de prédateurs qu’un petit coffre-fort personnel.&nbsp; Et un petit réseau local avec plein de petites barrières à franchir finira par dégoûter le pirate amateur.

&nbsp;

&nbsp;Les petites barrières :




  • un routeur personnel (plutôt qu’une box de FAI) avec firmware open source mis à jour régulièrement et pare-feu SPI activé

  • des données très sensibles qu’on met sur support amovible (clé USB ou DAS) plutôt que sur disque interne ou NAS

  • un petit ordinateur personnel qu’on isole en supprimant toutes les possibilités de connexion entrante (DLNA,&nbsp; UPnP, NetBIOS… etc), ce qui ne gêne en rien si on a un autre ordinateur pour le multimédia, les réseaux sociaux…


La seule limite de Keepass que je connaiosse c’est quand l’utilisateur ne cherche pas a l’utiliser correctement.



Je l’utilise tous les jours sans aucun problèmes.

&nbsp;

Pour l’intégration aux navigateurs, il faut juste installer deux modules qui se nomment Keefox et Keepasser.exe pour IE. Ils sont sur le site de Keepass, il faut juste lire et chercher un peu sur leur site pas très ergonomique, il est vrai.

&nbsp;



L’avantage de Keepass, c’est qu’il permet aussi de remplir les demandes de mot de passe SMB, Putty, etc …

En fait, n’importe quelle application, sauf les sandbox de Windows (a moins que quelqu’un m’explique comment faire !?), il suffit de sélectionner les fenêtres cibles dans l’onglet saisie automatiques de chaque entrée.

&nbsp;



Sinon, il y a d’autres systèmes en entreprise, comme gardian, c’est centralisé en réseau local, pas chez le fournisseur, avec vos propres serveurs. Toutefois, il faudra porter une très forte attention a la disponibilité du service, sinon, le blocage sera aussi global. Surtout si vous avez activé gardian en tant que SSO pour le login AD Windows.

&nbsp;



Depuis que j’ai Keepass, je n’enregistre plus aucun mot de passe ailleurs. Leurs machins sync, ça fait des années que je ne m’en sert plus. En fait, je me suis monté mon propre serveur sync sur mon NAS syno. Rien chez Mozilla. Bien que dernièrement, ils ont changé de système et j’ai du bricoler dans le about:config pour retrouver les paramètres de l’ancienne version de sync (Sursis ? C’est possible …)

&nbsp;



Essayer Keepass, c’est l’adopter.


Non pas chez Gro$oft, et c’est KEEpass + OWNcoud qui a été évoqué. Pour OWN cloud, il faut un NAS/serveur perso et maitriser les ouvertures de ports sur son accès internet.








ExoDarkness a écrit :



&nbsp;En parlant de double authentification, quelqu’un peut me dire pourquoi Paypal n’est pas foutu de proposer une authentification à double facteur pour ses utilisateurs français ? &nbsp;<img data-src=" />





C’est dispo dans les autres pays? Y’a quelques sites où je ne comprends le fait de ne pas utiliser la double authentification, Paypal, Amazon sur lequel tes CB sont enregistrés (je parle du site marchant pas AWS), les banques…









ExoDarkness a écrit :



J’ai testé Dashlane et en plus du prix prohibitif à l’année, il est loin de valoir Lastpass. Le client est certes joli mais il est lourd et la double authentification se limite à Google authentificator.&nbsp;





&nbsp;Pour info, tu peux utiliser autre chose que Google authentificator pour la double authentification.

&nbsp;Les sites proposent souvent cette app, mais il en existe pleins d’autres.&nbsp;

&nbsp;Perso je passe par celui là&nbsphttps://play.google.com/store/apps/details?id=com.mufri.authenticatorplus&nb…

&nbsp;Il me permet de faire une sauvegarde sur un cloud, ce qui permet de ne pas reconfigurer les comptes en cas de changement de tel. (Il existe des versions open source sinon)



J’utilise KeePass depuis des années et, tout comme toi, je n’ai guère confiance en un même service en ligne… (même si ce sont des professionnels, et que leur produit a l ‘air robuste).


Données chiffrées, destruction de la clef après 10 tentatives de mdp erronés, etc…


Les deux solutions sont bien quand même. Même si l’usage est diffèrent.

&nbsp;



&nbsp;Ca a ses avantages de se loguer sur un site quasi automatiquement s’il est correctement inscrit. Après je conçois que de garder tous ses mots de passe sur internet ca peut choquer.

&nbsp;

&nbsp;Keepass est il plus securisé si d’aventure notre machine se fait intruser ?


Fermer