LastPass force enfin tous ses clients à utiliser un mot de passe maître de 12 caractères

Félix Cattafesta |

Le gestionnaire de mots de passe LastPass va enfin imposer d’utiliser un mot de passe principal de 12 caractères ou plus à tous ses utilisateurs. Ce prérequis a été rendu obligatoire en début d’année, mais les comptes plus anciens pouvaient conserver un mot de passe plus court et potentiellement plus risqué.

Les mots de passe avec 12 caractères sont proposés par défaut depuis 2018. Ils ont été imposés par LastPass en avril 2023, et les nouveaux clients ou ceux voulant changer de mot de passe principal étaient depuis obligés de passer sur un code à 12 caractères. Cependant, les comptes disposant d’un mot de passe plus ancien (et plus court) n’avaient jamais été obligés de le modifier. Cela va changer prochainement, LastPass ayant annoncé vouloir leur forcer la main.

Le déploiement de ce renouvellement obligatoire se fera par étape, avec des notifications envoyées par vagues selon l’abonnement en cours (Gratuit, Premium, Famille…) dans le courant du mois. Les clients d’entreprise seront invités à faire de même par la suite. LastPass prévient également qu’elle va commencer à vérifier les nouveaux mots de passe maîtres en les comparant avec des bases de données ayant fuité. Elle pourra ainsi alerter les utilisateurs s’ils choisissent un mot de passe déjà compromis.

LastPass a été victime d’une grosse attaque fin 2022 : des pirates avaient réussi à copier une sauvegarde des coffres-forts des clients. Autrement dit, la seule barrière entre les malandrins et les mots de passe en clair des utilisateurs était la fiabilité de leur mot de passe maître. LastPass s’était défendue en affirmant que les risques étaient minimes, jugeant « extrêmement difficile » pour les brigands de deviner les mots de passe maîtres des utilisateurs. Cette déclaration avait été vivement critiquée.

Pour aller plus loin :
Source
Bleeping Computer
Tags
#LastPass
avatar jackhal | 

"CMS systems should raise a flag every time an editor or writer tries to use finally in a headline."
- https://daringfireball.net/linked/2015/01/29/finally-of-the-day

avatar R-APPLE-R | 

Il faut surtout le coupler à l’authentification à deux facteurs à vélo 😈

avatar koko256 | 

C'est ridicule, il peut y avoir de bons mots de passe à moins de 12 caractères.

avatar cecile_aelita | 

@koko256

C’est un peu ce que j’allais dire … c’est pas tant la longueur du mot de passe que sa difficulté qui compte.
Je ne suis pas spécialiste mais je suis presque sûre que : « 1&yH4d-Y » est un mot de passe plus complexe à trouver que « cecile91facebook » qui a pourtant largement plus que 12 caractères.

avatar minipapy | 

@cecile_aelita

Pour la culture : https://www.blogdumoderateur.com/etude-temps-pirater-mot-de-passe-2023/

Et pour la source sous-jacente plus complète : https://www.hivesystems.io/blog/are-your-passwords-in-the-green?utm_source=header

Il faut se méfier des croyances en terme de sécurité. 🙂

avatar cecile_aelita | 

@minipapy

La conclusion que j’en tire de votre lien (très intéressant au demeurant) c’est que la complexité du mot de passe a un impact bien plus grand que la longueur… mais que ça n’est quand même pas suffisant. Il faut la longueur ET la complexité.

avatar jerssrk | 

@cecile_aelita

La on parle d’un mot de passe maître quand même…
Un truc, qui découvert permet d’avoir accès à l’intégralité de tes mots de passe…
Je ne pense pas qu’un truc « plus court, mais plus compliqué » soit plus acceptable dans cette situation. Douze caractères c’est encore trop peu.

Après, à utiliser des mots de passe maître aussi mauvais (les deux) tu mérites presque autant de te faire pirater que pour avoir utilisé LastPass.

avatar cecile_aelita | 

@jerssrk

Je n’ai pas dit qu’il fallait le rendre plus court … j’ai dit qu’imposer un mot de passe plus long n’est pas un gage de sécurité.

avatar jerssrk | 

@cecile_aelita

J’ai pas dis que tu disais qu’il fallait le raccourcir.. Si c’est ce que j’ai fais je m’en excuse, mais ce n’est pas ce que je voulais dire.

avatar scanmb | 

@cecile_aelita

https://www.grc.com/haystack.htm

Pour info
Respectueusement

avatar cecile_aelita | 

@scanmb

Ah bah effectivement d’après ce site je me suis trompée !
Au temps pour moi!
Je ne pensais pas que mon mot de passe complexe serait astronomiquement plus rapide à trouver que « cecile91facebook »!

avatar scanmb | 

@cecile_aelita

Ne le prenez pas mal, s’il vous plait.
Ce n’est qu’une info concernant certaines méthodes
Bien respectueusement

avatar cecile_aelita | 

@scanmb

Ou ai je dis que je le prenais mal? Justement je reconnais que je me suis trompée !
Je sais que c’est rare de nos jours surtout sur ce forum que les gens admettent s’être trompés, mais oui oui quand je me trompe je le reconnais.

avatar scanmb | 

@cecile_aelita

🙋🏽‍♂️

avatar minipapy | 

@koko256

Non : https://www.blogdumoderateur.com/etude-temps-pirater-mot-de-passe-2023/

avatar nico_fr87 | 

@minipapy

Enfin ceci en imaginant que les hacks ne se font que par brute force ce qui est loin d’être le cas

avatar jb18v | 

ah merci pour l'article, intéressant.
J'ai eu le mail de Lastpass ce matin (testé un moment, mais je suis passé de 1Pawwsord à Bitwarden, et pas envie de changer ^^). Et en réalité il est déjà de 16 caractères, donc rien à faire ^^

avatar koko256 | 

@minipapy

C'est un peu bidon. Si lastpass utilise pbkdf2 avec 1 million d'itérations (la préconisation actuelle), ils peuvent se la mettre bien profond leur force brute.

avatar jackhal | 

C'est clair que baser ses résultats sur md5, c'est un peu n'imp'.
Dans l'article d'origine, ils parlent quand même de bcrypt, mais enchainent comme si c'était quelque chose de fixe, alors qu'il y a un paramètre "cost" qui double la puissance nécessaire à chaque fois qu'on l'incrémente.

Pour celles-et-ceux qui ne connaissent pas, pour vous donner une idée, tester 1000 mots de passe chiffrés en md5, ça prend environ 0.00003s avec un M2.
Avec le réglage bcrypt par défaut de PHP (cost=10), ça prend 6 secondes.
Cost=11 : 12s
Cost=12 : 24s
Cost=13 : 48s
Cost=14 : 96s
Cost=15 : 192s
Avec cost=50, il faudrait plus de 2000 ans rien que pour vérifier la validité d'un mot de passe (et ça monte jusqu'à 99, c'est dire si c'est solide avec les techniques, connaissances et processeurs actuels pour contrer la force brute)

Après, tout dépend de comment le serveur a chiffré les mots de passe, et de si l'utilisateur réutilise ses mots de passe sur plusieurs sites (auquel cas on a des chaines dont la résistance est potentiellement celle du maillon le plus faible : GMail pourra chiffrer avec un super algo, si c'est le même mot de passe que plomberie-loisir.fr [site fictif] qui ne chiffre pas les mots de passe, le jour ou celui-ci se fait repomper sa base de données, c'est open bar pour GMail et la récupération de mots de passe de tous les sites rattachés).

avatar koko256 | 

@jackhal

J'espère que les utilisateurs d'un gestionnaire de mots de passe l'utilisent pour tous les sites et avec des mots de passes générés aléatoirement ou des passkeys. Du coup le mot de passe maître ne sert que pour chiffrer le fichiers des mots de passe et a priori, le seul algo pour générer une clé de chiffrement à partir d'un mot de passe est pbkdf2. Bien sûr reste à voir le nombre d'itérations choisi par lastpass mais même à 100.000, il faut 1/10e de secondes pour tester un mot de passe sur un coeur...

avatar bozzo | 

C’est pour cette raison que je n’utilise pas de coffre fort en ligne.
Le piratage de la base de donnée est possible : l’histoire de LastPass le prouve.
Une fois que les pirates ont à leur disposition la base de données, chez eux, sur leurs petits ordinateurs à eux, ils peuvent tester tranquillement des millions (milliards) de mots de passe en quelques heures ou quelques jours.
Donc pour moi coffre fort de mots de passe exclusivement sur mon ordinateur, avec synchronisation LOCALE avec mon tel. Sans passer par le net.

avatar Krysten2001 | 

@bozzo

Suffit que ça soit chiffrer de bout en bout 😉

Comme iCloud,…

CONNEXION UTILISATEUR