LastPass piraté: voici ce que vous devez faire

Nous avions tellement aimé LastPass que nous l'avions en fait appelé Le meilleur gestionnaire de mots de passe. Alors, quand le histoire du hack a éclaté il y a quelque temps, nous étions tous en état de choc. Mais cela signifie-t-il que tout le monde devrait abandonner LastPass et utiliser autre chose? Vos mots de passe sont-ils en sécurité dans le cloud? Peut-on à nouveau faire confiance à l'entreprise? C'est ce que nous essayons de savoir.

Ne paniquez pas

Inutile de dire que c'est la première chose à faire. Paniquer, ou pire, répandre de fausses informations via n'importe quel média, n'est tout simplement pas la bonne façon de répondre à une crise. Bien qu'il soit naturel d'avoir peur lorsque vous lisez une nouvelle comme celle-ci, vous devez réaliser qu'une panique inutile ne sert à rien. Dans leurs article de blog, LastPass l'a bien précisé, et je cite,

Au cours de notre enquête, nous n'avons trouvé aucune preuve que des données de coffre-fort d'utilisateurs chiffrées aient été prises, ni que des comptes d'utilisateurs LastPass aient été consultés.

Oui, ça continue en disant que

L'enquête a cependant montré que les adresses e-mail du compte LastPass, les rappels de mot de passe, les sels de serveur par utilisateur et les hachages d'authentification ont été compromis.

Mais, Quel cela signifie-t-il, demandez-vous? En termes simples, cela signifie que si tous vos mots de passe sont sûrs, d'autres informations peuvent ne pas l'être. Pour lequel, encore une fois, le billet de blog a déjà énoncé quelques conseils utiles.

Oui, les données des gestionnaires de mots de passe sont stockées sur le cloud, mais les informations sont cryptées directement sur votre ordinateur. Et même si l'architecture du cloud computing comporte un léger risque, vous pouvez toujours être tranquille en sachant que toutes les données cryptées n'y sont jamais stockées. Qui inclut tout vos mots de passe.

Conseil utile : Découvrez notre Guide ultime sur les mots de passe pour tout savoir sur la création et la gestion des mots de passe sur Internet.

Prévenir vaut mieux que guérir

Ce vieil adage ne pourrait jamais être plus pertinent qu'en ces temps d'espionnage sur Internet et de perte de vie privée. Voici quelques étapes à suivre en ce qui concerne votre compte LastPass, pour vous assurer de ne pas perdre votre sommeil face à de tels incidents.

Modifier le mot de passe principal

Pour changer le mot de passe principal de LastPass, cliquez simplement sur Préférences, où vous trouverez la section Paramètres du compte sur la gauche. En cliquant dessus, vous aurez la possibilité de Cliquez ici pour lancer les paramètres du compte comme indiqué ci-dessous.

En cliquant dessus, vous ouvrirez un nouvel onglet, où tout ce que vous avez à faire est d'appuyer sur le Modifier le mot de passe principal et optez pour une alternative plus récente (et plus puissante).

Voilà, l'étape la plus importante que vous devriez faire après cet incident est terminée !

Authentification à 2 facteurs et autres options de sécurité

Nous estimons que c'est une bonne idée de utiliser l'authentification à 2 facteurs dans la mesure du possible, et en particulier dans les endroits où des données sensibles sont stockées. LastPass a tout à fait raison de suggérer l'utilisation de ce service et nous pensons que vous devriez le faire immédiatement, après avoir changé votre mot de passe principal. En fait, pendant que vous y êtes, pensez à ajouter le facteur d'authentification en 2 étapes à tous les services que vous utilisez et qui contiennent des données sensibles.

Dans LastPass, vous trouverez Options multifactorielles dans les paramètres du compte (voir ci-dessus). C'est ici que vous trouverez des options pour sécuriser davantage votre compte LastPass. Vous verrez également le Option d'authentification de grille dont nous avons déjà parlé.

Restriction basée sur le pays

Une autre couche de sécurité que LastPass oblige ses utilisateurs à explorer est la politique de restriction basée sur le pays. Une fois activé, cela permettra uniquement aux appareils provenant du pays de votre résidence d'accéder à vos données LastPass. Si un appareil d'un autre pays tente d'y accéder, il affichera un message d'erreur. Nous avons couvert cela en détail et vous devriez certainement le lire, si vous ne l'avez pas déjà fait.

Toujours inquiet ?

Ne soyez pas. Il n'y a plus rien à faire ici. LastPass a déjà mis à jour sa sécurité et invite déjà les utilisateurs à vérifier par e-mail s'ils utilisent un nouvel appareil ou une nouvelle adresse IP. Pour vérifier cela, nous avons essayé exactement cela et avons été heureux de signaler que cette étape fonctionne exactement comme annoncé.

Les utilisateurs existants sont également invités à modifier leur mot de passe principal, mais même si vous ne recevez pas cette invite, nous vous invitons à le faire quand même. Enfin, nous aimerions citer Jeremi Gosney (un expert en sécurité des mots de passe chez Groupe de restriction) qui a parlé à Ars Technica du piratage -

Sur une NVIDIA GTX Titan X, qui est actuellement le GPU le plus rapide pour le craquage de mot de passe, un attaquant ne pourrait faire que moins de 10 000 suppositions par seconde pour un seul hachage de mot de passe. C'est vraiment lent! Même les mots de passe faibles sont assez sécurisés avec ce niveau de protection (sauf si vous utilisez un mot de passe absurdement faible mot de passe.) Et cela ne tient même pas compte du nombre d'itérations côté client, qui est configurable par l'utilisateur. La valeur par défaut est de 5 000 itérations, donc au minimum, nous envisageons 105 000 itérations. J'ai en fait le mien réglé sur 65 000 itérations, ce qui fait un total de 165 000 itérations protégeant ma phrase secrète Diceware. Donc non, je ne transpire certainement pas cette brèche. Je ne me sens même pas obligé de changer mon mot de passe principal.

En fait, un certain nombre de membres de notre propre équipe utilisent l'outil et nous avons fait exactement les mêmes choses que nous avons décrites ci-dessus. Et maintenant, nous souhaitons diffuser les connaissances au plus grand nombre.

Vous voulez essayer des alternatives ?

D'accord, si vous sentez que vous avez perdu confiance en LastPass à cause de tout cela, alors bien sûr, il y a toujours des alternatives. Si vous êtes prêt à investir un peu d'argent (et une partie de cette foi perdue), il y a toujours 1Mot de passe. C'est la même architecture et les mêmes mesures de sécurité en jeu, mais Agilebits, la société derrière 1Password, a un meilleur bilan que LastPass. Nous entendons par là qu'il n'a jamais été piraté. N'a pas été signalé, pour être plus précis. Encore.

Transférez vos mots de passe dans iOS : Il est facile de transférer vos données de LastPass vers 1Password pour iOS, une fois que vous avez lu notre article utile à ce sujet.

Si vous ne voulez rien dépenser, il existe une alternative gratuite. C'est appelé KeepPass et c'est aussi open source. Et nous avons aussi écrit un guide pour transférer vos mots de passe LastPass vers Keepass.

Même s'il n'est pas aussi pratique que 1Password, si vous êtes prêt à jouer, quelques plugins peuvent être ajoutés pour correspondre aux fonctionnalités de son homologue payant. Cela demande un peu de patience, alors soyez prêt.

Nos 2 centimes

Il est très facile de blâmer une entreprise et de dire qu'elle n'a pas fait attention à vos données. Mais cela revient à blâmer les banques en cas de vol. Les gens n'ont pas cessé d'y mettre leur argent et vous ne devriez pas non plus cesser de faire confiance aux gestionnaires de mots de passe, simplement parce que l'un d'entre eux a été piraté.

Nous ne disons même pas que la sécurité était laxiste de la part de LastPass, mais ils doivent absolument remonter leurs chaussettes. Ce n'était pas la première fois qu'un la menace a été détectée dans leur système, mais les deux fois, rien de majeur n'a été volé / perdu. Ils ont agi rapidement et ont rapidement informé les utilisateurs et ont déjà traité le problème de sécurité qui a conduit à cela. Avec un peu plus de précaution vous-même, vous pouvez vous assurer un état d'esprit beaucoup plus heureux. Si vous pouvez passer tout ce temps à penser à votre solde bancaire, nous sommes certains que vous pourrez également penser aux mots de passe qui les protègent.