LastPass exige désormais des mots de passe maître de 12 caractères, au moins

Le 04 Janvier 2024 à 08h49

LastPass a adressé un mail à ses clients les informant qu'ils devaient désormais utiliser des mots de passe maître complexes comportant un minimum de 12 caractères afin d'augmenter la sécurité de leurs comptes, rapporte BleepingComputer.

« Historiquement, même si un mot de passe principal à 12 caractères était le paramètre par défaut de LastPass depuis 2018, les clients avaient toujours la possibilité de renoncer aux paramètres par défaut recommandés et de choisir de créer un mot de passe principal avec moins de caractères s'ils le souhaitaient », explique le gestionnaire de phrases et mots de passe.

LastPass avait commencé à exiger de ses nouveaux utilisateurs ces 12 caractères depuis avril 2023, ainsi que suite à des réinitialisations de mot de passe, et l'impose désormais à l'ensemble de ses comptes.

Le gestionnaire ajoute qu'il commencerait également à vérifier les mots de passe principaux nouveaux ou mis à jour par rapport à une base de données d'informations d'identification précédemment divulguées sur le dark web pour s'assurer qu'ils ne correspondent pas à des comptes déjà compromis.

Si une correspondance est trouvée, les clients seront alertés via une fenêtre contextuelle d'avertissement de sécurité et invités à sélectionner un autre mot de passe pour bloquer les futures tentatives de piratage.

Ces mesures sont la conséquence directe de deux failles de sécurité révélées par LastPass en août et novembre 2022, rappelle BleepingComputer. Son environnement de développement avait été piraté via un compte de développeur compromis après le piratage de l'ordinateur portable d'un ingénieur logiciel. Le code source, des informations techniques et certains secrets du système interne de LastPass avaient alors été dérobés.

LastPass, dont nous avons déjà moult chroniqué ces problèmes de sécurité, affirme que son gestionnaire de mots de passe est désormais utilisé par plus de 33 millions de personnes et 100 000 entreprises dans le monde.

Commentaires (11)

max6

Le 04/01/2024 à 10h09

j'ai du mal à comprendre, cela voudrais dire que pour des raisons de sécurité si j’utilisai LastPass mon mot de passe maitre se retrouverais d'une manière ou d'une autre en clair chez LastPass pour qu'ils puisse le vérifier.
Ce ne serait pas en soi une énorme faille de sécurité ?

fred42 Abonné

Le 04/01/2024 à 10h23

#1.1

Il n'y a aucune raison que la vérification de mot de passe se fasse en envoyant le mot de passe chez eux. Ce genre de vérifications se fait en envoyant un hash du mot de passe calculé en local sur ta machine.

Le 04/01/2024 à 11h32

#1.2

fred42

A un moment ils ont le mot de passe en clair puisqu'ils vérifient avec une liste de mot de passe hacké ? comment pourraient-ils sinon vérifier cela en comparant un hash avec des mots de passe en clair

ShadowNet Abonné

Le 04/01/2024 à 11h36

#1.3

Ne fut-ce qu'en hashant les mots de passe en clair avec le même algo, il suffit alors de comparer les hash. Mais dans les fuites de mot de passe ce sont souvent les hash qui fuitent pas les mots de passe en clair. Mais bon avec une rainbow table on peut retrouver le mot de passe original assez facilement

Le 04/01/2024 à 11h39

#1.5

ShadowNet

Pas si le hash est salé.

Le 04/01/2024 à 11h38

#1.4

Qui a dit que les mots de passe de la liste sont en clair ?
Comme la comparaison se fait sur un hash, autant calculer les hash une seule fois et les stocker ainsi.

Le sujet avait déjà été abordé ici pour les outils de Firefox et Chrome. Le mot de passe ne sortait pas et le hash était calculé localement dans le navigateur.

Le 04/01/2024 à 11h55

#1.6

Vous venez de l'écrire le mot de passe ne sortait pas et le hash calculé en local mais dans ce cas personne n'a jamais prétendu que mozilla vérifiait les mots de passe à postériori sur leurs serveurs

Le 04/01/2024 à 12h15

#1.7

Bon, j'arrête là.

Modifié le 04/01/2024 à 12h18

dada051 Abonné

Le 05/01/2024 à 11h05

#1.8

Probablement que la notification se fera en local en moment où tu saisiras ton mot de passe maître. Pas besoin de stocker quoique ce soit, ni localement, ni sur le serveur. D'ailleurs ils ne doivent même pas stocker le hash du mot de passe maître, ça n'est pas nécessaire pour déchiffrer la base.

Goupil74 Abonné

Le 04/01/2024 à 11h53

LastPass tolérais jusqu'à présent des mots de passes d'accès aux comptes hallucinent de simplicité, dans ma société contraint de faire la Police sur cette extension utilisée pour des mots de passes d'entreprises avec une protection anecdotique (aucune double authentification, aucun critère de sécurité)...

darkjack Abonné

Le 04/01/2024 à 14h24

#2.1

1 bloquer Lastpass
https://support.lastpass.com/s/document-item?language=en_US&bundleId=lastpass&topicId=LastPass/allowlisting-firewall-configuration.html&_LANG=enus

2 proposer une alternative auto-hébergée type Vaultvarden
https://wiki-tech.io/SelfHosted/Bitwarden

Catégories

Nous suivre

À propos

LastPass exige désormais des mots de passe maître de 12 caractères, au moins

Granite : IBM lance son pavé dans la mare des modèles de langage pour la génération de code

Stack Overflow signe avec OpenAI

La RATP expérimente sa vidéosurveillance algorithmique pour les concerts de Taylor Swift

FurMark débarque en version 2.3, avec la prise en charge des Raspberry Pi

Boeing Starliner n’a finalement toujours pas décollé…

Chang’e 6 fait route vers la Lune, avec l’instrument français DORN

Pass Monitor : Proton Pass comble (enfin) certaines lacunes

Dirty Stream : quand une application Android peut écraser les fichiers d’une autre

Raspberry Pi Compute Module 4S : jusqu’à 8 Go de mémoire, production jusqu’en 2034

Calendrier de publication d’Ubuntu 24.10 (Oracular Oriole)

Commentaires (11)