LastPass force enfin tous ses clients à utiliser un mot de passe maître de 12 caractères

Le gestionnaire de mots de passe LastPass va enfin imposer d’utiliser un mot de passe principal de 12 caractères ou plus à tous ses utilisateurs. Ce prérequis a été rendu obligatoire en début d’année, mais les comptes plus anciens pouvaient conserver un mot de passe plus court et potentiellement plus risqué.

Announcement: In January 2024, LastPass will require all existing customers to use a master password with at least 12 characters. This policy will be implemented via a phased rollout. More: https://t.co/KjzpBC6l7Z pic.twitter.com/W64Hrb58bB

— LastPass (@LastPass) January 3, 2024

Les mots de passe avec 12 caractères sont proposés par défaut depuis 2018. Ils ont été imposés par LastPass en avril 2023, et les nouveaux clients ou ceux voulant changer de mot de passe principal étaient depuis obligés de passer sur un code à 12 caractères. Cependant, les comptes disposant d’un mot de passe plus ancien (et plus court) n’avaient jamais été obligés de le modifier. Cela va changer prochainement, LastPass ayant annoncé vouloir leur forcer la main.

Le déploiement de ce renouvellement obligatoire se fera par étape, avec des notifications envoyées par vagues selon l’abonnement en cours (Gratuit, Premium, Famille…) dans le courant du mois. Les clients d’entreprise seront invités à faire de même par la suite. LastPass prévient également qu’elle va commencer à vérifier les nouveaux mots de passe maîtres en les comparant avec des bases de données ayant fuité. Elle pourra ainsi alerter les utilisateurs s’ils choisissent un mot de passe déjà compromis.

LastPass a été victime d’une grosse attaque fin 2022 : des pirates avaient réussi à copier une sauvegarde des coffres-forts des clients. Autrement dit, la seule barrière entre les malandrins et les mots de passe en clair des utilisateurs était la fiabilité de leur mot de passe maître. LastPass s’était défendue en affirmant que les risques étaient minimes, jugeant « extrêmement difficile » pour les brigands de deviner les mots de passe maîtres des utilisateurs. Cette déclaration avait été vivement critiquée.