La nouvelle que la sécurité du réseau LastPass a été compromise est, bien sûr, un problème grave. Le fait que la société victime d'une violation en soit une qui fournisse un service de gestion des mots de passe augmente la gravité d'un cran - ou dix. Alors, pourquoi suis-je, quelqu'un qui a bâti une carrière sur l'écriture sur la sécurité informatique, sans m'arracher les cheveux à ce sujet? Bien au-delà du fait que je n’en ai aucun à tirer, la brèche LastPass n’est pas aussi grave pour certains d’entre nous que pour d’autres.
Nous n'avons trouvé aucune preuve que les données cryptées du coffre-fort des utilisateurs aient été prises ni que les comptes d'utilisateurs LastPass aient été accédés, nous dit un porte-parole de LastPass. Alors, de quoi s'agit-il, demandez-vous - où est le risque? Eh bien, c'est double comme je le vois. Premièrement, étant donné que les adresses e-mail et les rappels de mot de passe associés ont été compromis, je m'attends à voir des tentatives de phishing ciblées sous la forme de faux messages de réinitialisation du mot de passe principal. J’aimerais penser que je ne craindrais pas de craquer pour ceux-là.
página beta de la búsqueda avanzada de facebook 2.2
En ce qui concerne le deuxième risque, les mots de passe maîtres faibles seront actuellement soumis à des tentatives de craquage par force brute, grâce aux sels de serveur par utilisateur et aux hachages d'authentification auxquels on accède. En ce qui concerne ces tentatives de craquage, le fait que LastPass renforce ces hachages d'authentification avec un sel aléatoire et jette 100000 tours supplémentaires de PBKDF2-SHA256 côté serveur pour faire bonne mesure, il est plus difficile de les casser. Cependant, si le mot de passe principal est médiocre, il sera toujours ouvert aux attaques par force brute; il faudra juste un peu plus de temps pour le casser.
LastPass impose donc un changement de mot de passe principal à la plupart des utilisateurs et demande une vérification des e-mails à ceux qui se connectent à partir d'un nouvel appareil ou d'une nouvelle adresse IP. Cependant, je ne changerai pas mon mot de passe principal, et je n'ai pas (jetons un coup d'œil) depuis 442 jours maintenant parce que c'est aléatoire, c'est complexe, il fait plus de 25 caractères, il n'est utilisé nulle part ailleurs, et je peut s'en souvenir par cœur. De plus, il est soutenu par les deux mots magiques suivants: authentification multifactorielle.
Boom! En ce qui me concerne, tous ces efforts pour accéder à la périphérie du réseau LastPass ne servent à rien car j'utilise un mot de passe maître fort sauvegardé par une authentification multifactorielle. Même si mon mot de passe principal était en quelque sorte compromis, l'attaquant devrait alors accéder à ma YubiKey (un jeton physique) afin de déchiffrer mon coffre-fort de mots de passe. Ces paramètres avancés sont gratuits et sont disponibles pour les utilisateurs depuis un certain temps. De plus, vous n’avez pas besoin d’acheter une YubiKey; vous pouvez utiliser une application à télécharger gratuitement telle que Google Authenticator si vous le souhaitez. Pourquoi n'utiliseriez-vous pas l'authentification à deux facteurs (2FA) sur un site ou un service où elle est proposée? Non sérieusement?
En ce qui concerne les paramètres avancés, il y en a un autre que j'utilise qui me donne une autre couche de confiance dans la sécurité raisonnable de mes données avec LastPass, et c'est un verrouillage de l'accès géographique. Vous pouvez définir des restrictions de pays qui vous permettent de choisir les pays à partir desquels votre coffre-fort de mots de passe est accessible. Je garde cela verrouillé au Royaume-Uni, sauf si je voyage à l'étranger, auquel cas j'active cet emplacement spécifique avant mon départ. Oh, et je n'autorise pas non plus les connexions depuis les réseaux Tor. Paranoïaque, moi? Non, juste raisonnable de restreindre l'accès à ces clés du royaume. Comme vous devriez l'être aussi.
Ce qui m'inquiète le plus dans le compromis LastPass, ce n'est pas, curieusement, le compromis lui-même, mais la réponse à celui-ci; et surtout celle des médias - à la fois professionnels et sociaux. Il semble y avoir un sentiment sous-jacent de plaisir à l'idée de donner un coup de pied à LastPass, et beaucoup vous ont dit des rapports de ce type. Mais que nous avez-vous dit exactement? Que s'est-il passé exactement ici? Aucune donnée de mot de passe cryptée n'a été compromise pour autant que nous puissions le voir, et LastPass a été assez transparent en divulguant l'événement et en mettant en place des mesures pour sécuriser davantage la confiance des utilisateurs.
Que voudraient nous faire les opposants des médias? Revenir au stylo et au papier, ou une solution de chiffrement plus technique peut-être? J'ai vu les deux suggérés, et ni l'un ni l'autre ne réduisent le risque pour le Joe moyen, juste le contraire en fait. Peut-être passer à un autre fournisseur de gestion des mots de passe? Encore une fois, comment cela vous aide-t-il lorsque vous ne savez pas comment ils réagiraient quand - pas si - ils subissaient une violation? Au moins, vous savez que LastPass est sur la balle quand il s'agit de la réponse de brèche.
Pour moi, un gestionnaire de mots de passe reste l'option la plus sécurisée pour la plupart des gens, et si vous suivez mon exemple et combinez un mot de passe principal fort avec une authentification multifactorielle et des options de verrouillage de connexion, vous réduisez le risque de compromission autant qu'il est humainement possible.
Et c'est pourquoi, cher lecteur, je n'ai pas besoin de changer mon mot de passe principal; ou mon gestionnaire de mots de passe d'ailleurs.
