LastPass piraté: voici ce que vous devez faire

Nous avions tellement aimé LastPass que nous l'avions en fait appelé Le meilleur gestionnaire de mots de passe. Ainsi, lorsque le histoire du hack a éclaté il y a quelque temps, nous étions tous en état de choc. Mais, cela signifie-t-il que tout le monde devrait abandonner LastPass et utiliser autre chose? Vos mots de passe sont-ils en sécurité dans le cloud? Pouvons-nous à nouveau faire confiance à l'entreprise? C'est ce que nous essayons de découvrir.

Ne paniquez pas

Inutile de dire que c'est la première chose à faire. Paniquer, ou pire, diffuser de fausses informations via n'importe quel support, n'est tout simplement pas la bonne façon de répondre à une crise. Bien qu'il soit naturel d'avoir peur lorsque vous lisez une actualité comme celle-ci, vous devez réaliser qu'une panique inutile ne sert à rien. Dans leurs article de blog, LastPass a été clair, et je cite,

Au cours de notre enquête, nous n'avons trouvé aucune preuve que des données cryptées du coffre-fort des utilisateurs aient été prises, ni que les comptes d'utilisateurs LastPass aient été consultés.

Oui, il continue en disant que

L'enquête a cependant montré que les adresses e-mail des comptes LastPass, les rappels de mot de passe, les sels de serveur par utilisateur et les hachages d'authentification ont été compromis.

Mais, Quel cela signifie-t-il, demandez-vous? En termes simples, cela signifie que même si tous vos mots de passe sont sûrs, d'autres informations peuvent ne pas l'être. Pour lequel, encore une fois, le billet de blog a déjà indiqué quelques conseils utiles.

Oui, les données des gestionnaires de mots de passe sont stockées sur le cloud, mais les informations sont cryptées directement sur votre ordinateur. Et même si l'architecture du cloud computing comporte un léger risque, vous pouvez toujours être tranquille en sachant que toutes les données cryptées n'y sont jamais stockées. Qui inclut tous vos mots de passe.

Conseil utile : Consultez notre Guide ultime sur les mots de passe pour tout savoir sur la création et la gestion des mots de passe sur internet.

Prévenir vaut mieux que guérir

Ce vieil adage ne pourrait jamais être plus pertinent qu'en ces temps d'espionnage sur Internet et de perte de confidentialité. Voici quelques étapes que vous devez suivre en ce qui concerne votre compte LastPass, pour vous assurer de ne pas perdre votre sommeil à cause de tels incidents.

Changer le mot de passe principal

Pour changer le mot de passe principal de LastPass, cliquez simplement sur Préférences, où vous trouverez la section Paramètres du compte sur la gauche. En cliquant dessus, vous aurez la possibilité de Cliquez ici pour lancer les paramètres du compte comme indiqué ci-dessous.

En cliquant dessus, un nouvel onglet s'ouvrira, où tout ce que vous avez à faire est d'appuyer sur le bouton Changer le mot de passe principal et optez pour une alternative plus récente (et plus solide).

C'est ça, l'étape la plus importante que vous devriez faire une fois cet incident terminé !

Authentification à 2 facteurs et autres options de sécurité

Nous pensons que c'est une bonne idée de utiliser l'authentification à 2 facteurs dans la mesure du possible, et en particulier dans les endroits où sont stockées des données sensibles. LastPass a tout à fait raison de suggérer l'utilisation de ce service et nous pensons que vous devriez le faire immédiatement, après avoir modifié votre mot de passe principal. En fait, pendant que vous y êtes, pensez à ajouter le facteur d'authentification en deux étapes à tous les services que vous utilisez et qui contiennent des données sensibles.

Dans LastPass, vous trouverez Options multifacteur dans les paramètres du compte (voir ci-dessus). C'est ici que vous trouverez des options pour sécuriser davantage votre compte LastPass. Vous verrez également le Option d'authentification de grille dont nous avons déjà parlé.

Restriction basée sur le pays

Une autre couche de sécurité que LastPass oblige ses utilisateurs à explorer est la politique de restriction basée sur le pays. Une fois activé, cela permettra uniquement aux appareils provenant du pays de votre résidence d'accéder à vos données LastPass. Si un appareil d'un autre pays essaie d'y accéder, un message d'erreur s'affichera. Nous avons couvert cela en détail et vous devriez certainement le lire, si vous ne l'avez pas déjà fait.

Toujours inquiet ?

Ne le soyez pas. Il n'y a plus rien à faire ici. LastPass a déjà mis à jour sa sécurité et invite déjà les utilisateurs à vérifier par e-mail s'ils utilisent un nouvel appareil ou une nouvelle adresse IP. Pour vérifier cela, nous avons essayé exactement cela et avons été heureux de signaler que cette étape fonctionne exactement comme annoncé.

Les utilisateurs existants sont également invités à modifier leur mot de passe principal, mais même si vous n'obtenez pas cette invite, nous vous invitons à le faire quand même. Enfin, nous aimerions citer Jeremi Gosney (expert en sécurité des mots de passe chez Groupe de restriction) qui a parlé à Ars Technica du piratage -

Sur une NVIDIA GTX Titan X, qui est actuellement le GPU le plus rapide pour le craquage de mot de passe, un attaquant ne pourrait faire que moins de 10 000 suppositions par seconde pour un seul hachage de mot de passe. C'est bien lent! Même les mots de passe faibles sont assez sécurisés avec ce niveau de protection (à moins que vous n'utilisiez un mot de passe.) Et cela ne tient même pas compte du nombre d'itérations côté client, qui est configurable par l'utilisateur. La valeur par défaut est de 5 000 itérations, donc au minimum, nous envisageons 105 000 itérations. En fait, le mien est réglé sur 65 000 itérations, ce qui fait un total de 165 000 itérations protégeant ma phrase secrète Diceware. Alors non, je ne suis certainement pas en train de transpirer cette brèche. Je ne me sens même pas obligé de changer mon mot de passe principal.

En fait, un bon nombre de membres de notre propre équipe utilisent l'outil et nous avons fait exactement les mêmes choses que nous avons indiquées ci-dessus. Et maintenant, nous souhaitons diffuser les connaissances au plus grand nombre.

Vous voulez essayer des alternatives ?

D'accord, si vous sentez que vous avez perdu confiance en LastPass à cause de tout cela, alors bien sûr, il y a toujours des alternatives. Si vous êtes prêt à investir un peu d'argent (et une partie de cette foi perdue), alors il y a toujours 1Mot de passe. C'est la même architecture et les mêmes mesures de sécurité en jeu, mais Agilebits, la société derrière 1Password, a de meilleurs antécédents que LastPass. Par cela, nous voulons dire qu'il n'a jamais été piraté. N'a pas été signalé, pour être plus précis. Encore.

Transférez vos mots de passe dans iOS : Il est facile de transférer vos données de LastPass vers 1Password pour iOS, une fois que vous avez lu notre article utile à ce sujet.

Si vous ne voulez rien dépenser, il existe une alternative gratuite. C'est appelé KeepPass et c'est aussi open source. Et nous avons aussi écrit un guide pour transférer vos mots de passe LastPass vers Keepass.

Même si ce n'est pas aussi pratique que 1Password, si vous êtes prêt à jouer, quelques plugins peuvent être ajoutés pour correspondre aux fonctionnalités de son homologue payant. Cependant, cela demande un peu de patience, alors soyez prêt.

Nos 2 cents

Il est très facile de blâmer une entreprise et de dire qu'elle n'a pas fait attention à vos données. Mais c'est aussi bien que de blâmer les banques quand il y a un vol. Les gens n'ont pas cessé d'y mettre leur argent et vous ne devriez pas non plus arrêter de faire confiance aux gestionnaires de mots de passe, simplement parce que l'un d'entre eux a été piraté.

Nous ne disons même pas que la sécurité était laxiste de la part de LastPass, mais ils doivent absolument remonter leurs chaussettes. Ce n'était pas la première fois qu'un une menace a été détectée dans leur système, mais les deux fois, rien de majeur n'a été volé/perdu. Ils ont agi rapidement et ont rapidement informé les utilisateurs et ont déjà traité le problème de sécurité qui y a conduit. Avec un peu plus de précautions vous-même, vous pouvez vous assurer un état d'esprit beaucoup plus heureux. Si vous pouvez passer tout ce temps à penser à votre solde bancaire, nous sommes certains que vous pouvez également penser aux mots de passe qui les protègent ?