1Password critique la communication de crise de LastPass
1Password n'est pas avare en critiques envers LastPass, le gestionnaire de mot de passe qui s'est fait pirater au début du mois. Si les malandrins ont pu copier une sauvegarde des coffres-forts des clients, ceux-ci restent chiffrés : ils ne peuvent pas être déverrouillés sans le mot de passe maître. Dans un communiqué, le service estime « extrêmement difficile » pour les brigands de deviner les mots de passe des utilisateurs. Jeffrey Goldberg de 1Password affirme de son côté que les choses ne sont malheureusement pas si simples.

Dans sa communication de crise, LastPass a tenté de rassurer. Le service impose l'utilisation d'un mot de passe maître d'au moins 12 caractères depuis 2018 et la non-réutilisation de celui-ci sur un autre site. « Il faudrait des millions d'années pour trouver votre mot de passe à l'aide des technologies de cassage généralement utilisées », expliquait l'entreprise.
Jeffrey Goldberg ne l'entend pas de cette oreille et estime cette déclaration « très trompeuse ». Pour lui, elle pourrait être vraie à condition que tout le monde ait généré son mot de passe maître de manière totalement aléatoire en se servant d’un bon générateur de mots de passe. Or, l'expert en sécurité rappelle que le guide des « meilleures pratiques » en matière de mot de passe mis en avant dans l'annonce de LastPass ne mentionne pas l'utilisation d'un tel service. « Il serait donc incorrect de supposer que les utilisateurs génèrent leurs mots de passe LastPass à l'aide d'un générateur de mots de passe fort », écrit-il.
Si l'on considère tous les mots de passe possibles à 12 caractères, il existe environ 2⁷² possibilités : il faudrait plusieurs millions d'années pour les essayer toutes. […] Mais les personnes qui craquent les mots de passe créés par l'homme ne procèdent pas de cette manière. Les mots de passe créés par des humains sont craquables même s'ils répondent à diverses exigences de complexité.
Jeffrey Goldberg explique que les systèmes de crack de mot de passe vont déjà essayer des codes qu'un humain pourrait avoir créé (quitte à y ajouter des caractères complexes) du style Fido8my2Sox!
avant d'élargir et d'essayer des codes générés de manière purement aléatoire, style zm-aMvY7*7eL
.

Il compare cette technique à la recherche de sa voiture dont il aurait oublié l'emplacement en sortant du cinéma. S'il cherche sur toute la surface de la Terre, il lui faudra des centaines de milliards d'années pour en faire le tour. En revanche, s'il commence par regarder sur les parkings avant de viser plus large, cela sera beaucoup plus rapide.
1Password estime qu'il faudrait débourser environ 100 dollars pour essayer dix milliards de suppositions. « Étant donné que l'attaquant commence par les mots de passe les plus susceptibles d'être créés par l'homme, ces 100 dollars d'efforts sont susceptibles de donner des résultats, sauf si le mot de passe a été généré par une machine ».
Enfin, Jeffrey Goldberg termine en faisant un peu de retape pour son service : il affirme qu'une telle situation chez 1Password serait beaucoup moins intéressante pour les pirates à cause de la sécurité supplémentaire maison baptisée Secret Key. Celle-ci est créée localement sur un appareil lors de la première connexion et ne quitte jamais l'engin. Autrement dit, il est impossible pour des pirates d'ouvrir les coffres-forts simplement en essayant des milliards de mots de passe à distance.
"Enfin, Jeffrey Goldberg termine en faisant un peu de retape pour son service..." Ce qui était bien évidemment son objectif initial avec son intervention sur ce sujet! Bien hâte de voir comment il va communiquer le jour où ce problème se présentera (difficile de croire que ça n'arrive qu'aux autres...) avec 1Password! 😅
@Khrys
Justement avec la secret key c’est impossible pour un attaquant de tester des combinaisons et déchiffrer les mots de passe.
Jeffrey devrait faire une petite prière pour que ça n’arrive pas à sa société… ça tombe bien, la messe de minuit approche…
Ça arrivera sûrement un jour. Aucun système n'est infaillible.
Par contre le bon point - ici - pour Jeffrey Goldberg est sur la communication et le fait qu'ils cherchent à sécuriser encore plus 1password.
1Password ferait mieux de faire une mise à jour pour Face ID sur iPhone 14 Pro
J’ai eu une conversation avec des techniciens qui cherchent toujours
Je suis sur Dashlane en test et je trouve vraiment bien en regard de 1Password
@Jeamy
Je fus utilisateur de Dashlane et je préfère nettement 1Password
La clé supplémentaire chez 1password change vraiment la donne et est un très gros plus, j’ai donc migré après plus de 10 ans chez lastpass, et changé les mdp les plus importants même si j’ai l’a2f partout et un mdp maître unique extrêmement long…
C’est la combientième fois que Last pass a un soucis ? J’exagère peut être mais c’est pas au moins la 5ème ?
Je comprends même pas qu’ils aient encore des clients. Ça a été mon premier gestionnaire et j’ai plus aucune confiance en eux perso.
On entend jamais parler de Bitwarden, en bien comme en mal. Je me demande si la sécurité est au rendez-vous. C’est mon gestionnaire de complément avec Trousseau.
@shaba
quel bien ?
quel mal ?
@oomu
Tout est relatif, on sait on sait 🤣
J'ai le souvenir de quelque chose de similaire avec OnePassword. J'ai d'ailleurs toujours la trace de cette fuite de données dans mon gestionnaire de mots de passe.
A quoi bon tous ces services de MDP depuis qu’Apple à intégré le sien dans ses OS ? 🤔
@Jul21
La seule vraie question, one system per usage, that’s all folk
@Jul21
Multi-plateformes, multi-navigateurs, coffres partagés, multiples autres entrées que juste des logins/mots pas passe, applications dédiées,…
@jul21
Il n’y a pas de gestionnaire de mot de passe dans MacOS
Il y a le trousseau de clé, qui garde les mots de passe de tes sessions. C’est tout
C’est bien, je dis pas, mais c’est au mieux du mieux 30% des possibilités de mon gestionnaire de mots de passe (Keychain) et les 70% restant me sont INDISPENSABLES
Exemple : tu veux stocker ton login et mot de passe Google. Alors, aussi bien Keychain que Keypass feront l’affaire
Oui mais voilà, tu veux aussi ajouter à ça les réponses aux questions personnelles qui te permettent de récupérer ton compte en cas de souci…
Keychain (trousseau Apple) en est proprement incapable…
Je veux conserver l’accès à ma banque qui est un numéro de code et une suite de chiffres à taper au clavier, je fais comment avec Keychain ?
Je veux faire une fiche avec les 5 comptes d’accès à mon NAS ainsi que des lignes d’infos textuelles, je fais comment avec Keychain ?
Bref on s’est compris, Keychain est un outil sympa et pratique pour conserver des couples login/mot de passe, mais il n’est bon qu’à ça, or stocker des informations de manière sécurisée est beaucoup plus que ça
@pocketalex
Keychain permet de conserver n’importe quelle note, tant que c’est du texte. Elle sera encryptée et synchronisée via iCloud. J’y stocke des numéros de comptes en banque, dés numéro de carte de fidélité, des identifiant de membre, des codes PIN/PUK de carte d’identité ou de carte SIM, etc.
https://support.apple.com/fr-fr/guide/keychain-access/kyca2268/mac
Je suggère que tu ouvres l’app au moins une fois avant de faire des commentaires totalement erronés.
@Brice21
Intéressant ça !
Tu peux également les consulter/modifier sur iOS ou elles sont réservées à macOS ?
@YuYu
Les notes dans le Keychain c’est MacOS only pour le moment. Si tu veux iOS, ipadOS et MacOS, tu peux mettre une note associée à une URL et un login/password. Ca marche aussi bien et ça synchronise partout. Enfin tu peux aussi sécuriser des Notes dans Notes, tout simplement.
@Brice21
excuse moi, mais Keychain n'est pas du tout prévu pour ça
Et j'ai pas voulu (pour une fois) faire un commentaire à rallonge, mais mon propose était tout simplement d'expliquer qu'un vrai gestionnaire de mot de passe permet de gérer des fiches, avec plein d'infos et de champs appropriés dedans, le tout bien classé dans des dossier/sous dossiers, etc
Perso je dirai ma config ici, mais je consulte mes données bancaires sur un système dédié.
A bon entendeur.
*pas
Qu’il commence par m’être à jour l’extension pour safari sur Ventura ! On est obliger de taper son mot de passes chaque fois, même si l’application est ouvert !
Bref on travaille déjà sur son propre business à satisfaire ces propre clients avant de cracher sur les concurrents
Je suis fan de 1Password depuis la 1ère heure il y a 15 ans. J'avais même échangé avec son sympathique fondateur à cette époque. Il était encore à New-York.
@pocketalex
On peut stocker des notes, chiffrées, dans le trousseau iCloud.
Mais elles ne seront pas disponibles sur iOS / iPadOS
@ElFitz
Si si les notes sont bien présentes sous iOS/iPadOS depuis la version 15 de mémoire. Je n’utilise plus que ça en remplacement de 1password depuis 2/3 ans et ça fonctionne parfaitement et c’est gratuit, c’est suffisant pour tous mes usages mêmes un peu poussés.
Je parle des notes à l’intérieur d’un mot de passe (Dans les réglages systèmes). Pas les notes du trousseau.
Déjà, pour les mots de passe, je préfère un logiciel opensource, au moins, on est certain qu'il n'y a pas de porte dérobée et que le logiciel sera difficilement hackable.
Ensuite, régulièrement Apple change tout du jour au lendemain, ce qui est génial et fonctionnel aujourd'hui pourrait ne plus l'être demain. Alors si vous n'avez que quelques mots de passe, ce n'est pas très gênant, mais si vous commencez à avoir une base conséquente, vous devez prendre en compte que vous risquez un jour de devoir tout exporter dans une autre solution.
Justement, le trousseau d'accès sur macOS a été mon plus fidèle compagnon depuis des années. Aucune synchro, disponible sur un disque de sauvegarde. Contrairement a, par exemple, le trousseau de chromium auquel je faisais confiance... jusqu'au moment où j'ai voulu récupérer les mots de passe d'une machine décédée. Bien sûr ici on parle de services de mots de passe qui sont très pratiques, mais comme vous je ne leur fais pas confiance. Quelles sont les solutions open source utilisables ?
@hartgers
Bitwarden est très bien.
Keepass est bien moins user friendly mais a sa base de fans
J’ai mes beaux-parents et leur ami qui sont sur Lastpass, environ une cinquantaine d’entrées ou un peu plus, vous pensez que ça craint ?
@cybercap
Selon le degré de paranoïa/peur, tu peux leur conseiller de changer le mot de passe principal Lastpass et les mots de passe des sites/applis sensibles : banque, services d’identité publics (tout ce qui est utilisé par France Connect : impôts, secu…) et privés (google, FB, Apple…)
S’ils n’en ont qu’une cinquantaine, ils peuvent même tout changer, c’est pas très long.
Quand on dev sur electron, on la ferme...
@hawker
Ça faisait longtemps depuis leur passage à électron et tout le bruit que ça avait soulevé.
Au final, 1Password a bien survécu... et à gardé suffisamment de clients, même en passant à l'abonnement.
Ça donne quoi la nouvelle version Électron, qui devait être toute pourrie, lente, etc... par rapport à du natif Apple...?
@thierry37
Finalement l’app est vraiment bien, se lance très rapidement et est très agréable à utiliser. Un bel exemple de qu’il est possible de faire avec Electron
@YuYu
Merci pour le retour !
C'est bon d'avoir plusieurs sons de cloches
C'est bon d'avoir plusieurs sons de cloches
Ce n'est pas sympa de dire que YuYu est une cloche ;)
@hawker
pas nécessairement. surtout quand il s’agit de cryptographie et de données sensibles.
Keepass forever !!!
Cette guéguerre me fait bien rire. Bitwarden ou rien (que j'héberge depuis peu sur mon serveur 😉). 1Password et autres LastPass facturent un prix exorbitant (et surtout par abonnement mensuel) pour les mêmes fonctionnalités premium que Bitwarden propose (10$ annuel, donc vraiment rien).