LastPass exige désormais des mots de passe maître de 12 caractères, au moins

Le 04 janvier 2024 à 08h49

2 min

Sécurité

LastPass a adressé un mail à ses clients les informant qu'ils devaient désormais utiliser des mots de passe maître complexes comportant un minimum de 12 caractères afin d'augmenter la sécurité de leurs comptes, rapporte BleepingComputer.

« Historiquement, même si un mot de passe principal à 12 caractères était le paramètre par défaut de LastPass depuis 2018, les clients avaient toujours la possibilité de renoncer aux paramètres par défaut recommandés et de choisir de créer un mot de passe principal avec moins de caractères s'ils le souhaitaient », explique le gestionnaire de phrases et mots de passe.

LastPass avait commencé à exiger de ses nouveaux utilisateurs ces 12 caractères depuis avril 2023, ainsi que suite à des réinitialisations de mot de passe, et l'impose désormais à l'ensemble de ses comptes.

Le gestionnaire ajoute qu'il commencerait également à vérifier les mots de passe principaux nouveaux ou mis à jour par rapport à une base de données d'informations d'identification précédemment divulguées sur le dark web pour s'assurer qu'ils ne correspondent pas à des comptes déjà compromis.

Si une correspondance est trouvée, les clients seront alertés via une fenêtre contextuelle d'avertissement de sécurité et invités à sélectionner un autre mot de passe pour bloquer les futures tentatives de piratage.

Ces mesures sont la conséquence directe de deux failles de sécurité révélées par LastPass en août et novembre 2022, rappelle BleepingComputer. Son environnement de développement avait été piraté via un compte de développeur compromis après le piratage de l'ordinateur portable d'un ingénieur logiciel. Le code source, des informations techniques et certains secrets du système interne de LastPass avaient alors été dérobés.

LastPass, dont nous avons déjà moult chroniqué ces problèmes de sécurité, affirme que son gestionnaire de mots de passe est désormais utilisé par plus de 33 millions de personnes et 100 000 entreprises dans le monde.

Sébastien Gavois

Le 04 janvier 2024 à 08h49

Commentaires (11)

Abonnez-vous pour prendre part au débat

Déjà abonné ? Se connecter

Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.

Accédez en illimité aux articles

Profitez d’un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Abonnez-vous

max6

Le 04/01/2024 à 10h09

j'ai du mal à comprendre, cela voudrais dire que pour des raisons de sécurité si j’utilisai LastPass mon mot de passe maitre se retrouverais d'une manière ou d'une autre en clair chez LastPass pour qu'ils puisse le vérifier.
Ce ne serait pas en soi une énorme faille de sécurité ?

fred42 Premium

Le 04/01/2024 à 10h23

Il n'y a aucune raison que la vérification de mot de passe se fasse en envoyant le mot de passe chez eux. Ce genre de vérifications se fait en envoyant un hash du mot de passe calculé en local sur ta machine.

max6

Le 04/01/2024 à 11h32

A un moment ils ont le mot de passe en clair puisqu'ils vérifient avec une liste de mot de passe hacké ? comment pourraient-ils sinon vérifier cela en comparant un hash avec des mots de passe en clair

ShadowNet

Le 04/01/2024 à 11h36

Ne fut-ce qu'en hashant les mots de passe en clair avec le même algo, il suffit alors de comparer les hash. Mais dans les fuites de mot de passe ce sont souvent les hash qui fuitent pas les mots de passe en clair. Mais bon avec une rainbow table on peut retrouver le mot de passe original assez facilement

fred42 Premium

Le 04/01/2024 à 11h39

Pas si le hash est salé.

fred42 Premium

Le 04/01/2024 à 11h38

Qui a dit que les mots de passe de la liste sont en clair ?
Comme la comparaison se fait sur un hash, autant calculer les hash une seule fois et les stocker ainsi.

Le sujet avait déjà été abordé ici pour les outils de Firefox et Chrome. Le mot de passe ne sortait pas et le hash était calculé localement dans le navigateur.

max6

Le 04/01/2024 à 11h55

Vous venez de l'écrire le mot de passe ne sortait pas et le hash calculé en local mais dans ce cas personne n'a jamais prétendu que mozilla vérifiait les mots de passe à postériori sur leurs serveurs

fred42 Premium

Modifié le 04/01/2024 à 12h18

Bon, j'arrête là.

dada051 Premium

Le 05/01/2024 à 11h05

Probablement que la notification se fera en local en moment où tu saisiras ton mot de passe maître. Pas besoin de stocker quoique ce soit, ni localement, ni sur le serveur. D'ailleurs ils ne doivent même pas stocker le hash du mot de passe maître, ça n'est pas nécessaire pour déchiffrer la base.

goupil1928 Premium

Le 04/01/2024 à 11h53

LastPass tolérais jusqu'à présent des mots de passes d'accès aux comptes hallucinent de simplicité, dans ma société contraint de faire la Police sur cette extension utilisée pour des mots de passes d'entreprises avec une protection anecdotique (aucune double authentification, aucun critère de sécurité)...

darkjack Premium

Le 04/01/2024 à 14h24

1 bloquer Lastpass
https://support.lastpass.com/s/document-item?language=en_US&bundleId=lastpass&topicId=LastPass/allowlisting-firewall-configuration.html&_LANG=enus

2 proposer une alternative auto-hébergée type Vaultvarden
https://wiki-tech.io/SelfHosted/Bitwarden

S'abonner à

LastPass exige désormais des mots de passe maître de 12 caractères, au moins

Commentaires (11)

Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.

Signaler un commentaire

LastPass exige désormais des mots de passe maître de 12 caractères, au moins