LastPass a adressé un mail à ses clients les informant qu'ils devaient désormais utiliser des mots de passe maître complexes comportant un minimum de 12 caractères afin d'augmenter la sécurité de leurs comptes, rapporte BleepingComputer.

« Historiquement, même si un mot de passe principal à 12 caractères était le paramètre par défaut de LastPass depuis 2018, les clients avaient toujours la possibilité de renoncer aux paramètres par défaut recommandés et de choisir de créer un mot de passe principal avec moins de caractères s'ils le souhaitaient », explique le gestionnaire de phrases et mots de passe.

LastPass avait commencé à exiger de ses nouveaux utilisateurs ces 12 caractères depuis avril 2023, ainsi que suite à des réinitialisations de mot de passe, et l'impose désormais à l'ensemble de ses comptes.

Le gestionnaire ajoute qu'il commencerait également à vérifier les mots de passe principaux nouveaux ou mis à jour par rapport à une base de données d'informations d'identification précédemment divulguées sur le dark web pour s'assurer qu'ils ne correspondent pas à des comptes déjà compromis.

Si une correspondance est trouvée, les clients seront alertés via une fenêtre contextuelle d'avertissement de sécurité et invités à sélectionner un autre mot de passe pour bloquer les futures tentatives de piratage.

Ces mesures sont la conséquence directe de deux failles de sécurité révélées par LastPass en août et novembre 2022, rappelle BleepingComputer. Son environnement de développement avait été piraté via un compte de développeur compromis après le piratage de l'ordinateur portable d'un ingénieur logiciel. Le code source, des informations techniques et certains secrets du système interne de LastPass avaient alors été dérobés.

LastPass, dont nous avons déjà moult chroniqué ces problèmes de sécurité, affirme que son gestionnaire de mots de passe est désormais utilisé par plus de 33 millions de personnes et 100 000 entreprises dans le monde.