Les récents piratages subis par LastPass provoquent la colère de chercheurs en sécurité, et même d’un concurrent majeur du gestionnaire de mots de passe.
1 « J'aime »
il faut etre inconscient pour stocker ses MDP dans un cloud …
11 « J'aime »
J’ai pensé la meme chose !!
3 « J'aime »
Pourquoi, il y a largement plus de chance de tomber sur un pishing (certains sont super bien fait maintenant) ou keyllogger, que d’avoir son coffre-fort craké en brutforce.
Les stocker dans firefox ou chrome? quand on voit la facilité pour un autre browser de les importer il y a des doutes à se poser.
Bref lastpass a été bien merdique en com, mais de la à tout remettre en question. Ce qui intéresse est surtout l’adresse mail et les noms qui eux n’étaient pas crypté, ensuite, on envoie un mail de pishing et hop, on récupère les mots de passe des gens qui se font avoir.
Bien plus rentable que du brutforce.
Le brut force sera lui réservé au pire à un mail bien identifié qui peu rapporter gros, mais ca ne va pas casser les milliers de coffres voler.
et c’est un concurrent des lastpass qui critique, bref il va se faire aussi voler un jour et il la fermera
6 « J'aime »
L’inconscience c’est surtout d’y mettre des mots de passe importants pour le reste bof en cas de fuites de données y’a qu’a modifier ceux-ci.
J’utilise pour ma part Roboform depuis des années, jamais je n’ stockerai le mot de passe de ma banque, certains mots de passe doivent rester uniquement dans le nuage cervelle.
3 « J'aime »
Tous le monde stock leurs mot de passe dans Google Chrome, produit qui est dans le … cloud !
1 « J'aime »
Le stockage de mot de passe est une hérésie, sur le cloud ou ailleurs.
Un mot de passe n’est protégé à 100 pourcent que quand il n’est connu que d’une seule personne et inaccessible en dehors de celle-ci. Une fois enregistré dans un site, le risque de brèche existe.
Tous ceux qui se vantent de confier ses mot de passes à un service tiers, quel qu’il soit, s’exposent à un risque supplémentaire par rapport ceux qui ne le font pas, tout simplement.
2 « J'aime »
« les mots de passe créés par les humains sont loin de répondre à cette exigence »
Le gars qui utilise un gestionnaire de mots de passe mais qui a choisi son mot de passe avec son petit cerveau (ou avec des méthodes franchement douteuses comme celle popularisée par xkcd et reprise par trop de communicants) plutôt qu’en le générant aléatoirement est un crétin fini.
Tout l’intérêt d’un tel outil est d’avoir des mots de passe uniques et correctement générés sur les sites et services qu’on utilise, afin que la moindre fuite (même hashée) de l’un ne puisse pas affecter les autres. Si c’est pour avoir un mot de passe maître qui n’est pas à la hauteur, ça casse tout le principe … la moindre fuite sur un site (en l’occurrence celui du gestionnaire de mots de passe, quel qu’il soit) ou même une attaque ciblée, et tout y passe.
Mon propre mot de passe maître a été généré aléatoirement sur une device sans capacité réseau, et contient plus de 12 caractères.
3 « J'aime »
Non.
Tout depend comment c’est fait. C’est comme tout.
1 « J'aime »
Non.
On ne donne pas ses bijoux de famille à n’importe qui.
Personne ne l’a encore dit ? Allez je m’y colle : Keepass et pis c’est tout !
2 « J'aime »
Wow, alors la je suis seché !
Tes mots de passes tu les gardes bien dans un ptit coin de ton cerveau, y’a pas mieux.
Conclusion: en terminer avec les mdp et se tourner vers la biométrie
2 « J'aime »
Jeffrey Goldberg dit que LastPass c’est caca et que 1Password c’est mieux … rien d’étonnant.
Les hackers vont-ils s’amuser à faire du force brute pour chopper le mot de passe maître de Mme Michu (qui au passage utilise le même mot de passe « kiki2017 » sur tous les sites) ?
Mme Michu à déjà ses mots de passe enregistrés dans ses navigateurs et même sa carte bleu chez damart.fr
1 « J'aime »
A ceux qui disent que les gestionnaires de mots de passe sont dangereux, quelles solution proposeriez vous à mon cas : 500+ mots de passe, utilisation de PCs, iOS, Android, consoles et divers objets connectés.
Retenir les mois de passe par cœur est infaisable. Utiliser des variantes est trop risqué : deux sites compromîs permettent de trouver l’algol et de tout casser.
L’utilisation d’un outil comme keepass est sécurisé pour un device. Pour du multi devices, il faut utiliser un service de réplication (OneDrive ? Google drive ? Autre cloud ?) et des clients iOS / android développés par des inconnus, à haut risque.
La combinaison lastpass (ou autre) + mot de passe maître robuste + mfa (avec une application, pas avec des sms) me semble le meilleur compromis entre la sécurité et la simplicité d’usage. Si vous avez mieux, je suis preneur.
5 « J'aime »
D’accord avec toi à part pour la partie « cretin fini ».
Un bon expert cybersecurity enseigne, il ne se moque pas.
Je suis curieux : pourquoi générer le mot de passe mais sur un service sans capacité réseau ? Tu n’as pas confiance dans le générateur de mot de passe, tu veux t’assurer que le device n’est pas compromis ou c’est autre chose ?
Bitwarden en auto hébergé sur son propre serveur sécurisé et chiffré, et KeepassXC en local 
3 « J'aime »
Perso mes mots de passe ce sont deux carnets papiers alphabétiques a onglet un chez moi un chez mes parents a 500km. Quand je rajoute un mot de passe je téléphone a mes parents pour qu’ils le rajoutent dans mon carnet chez eux. Bien sur cela protège de l’incendie mais ni du cambriolage ni de la bombe atomique mais en aurais je encore besoin ?
« Un mot de passe n’est protégé à 100 pourcent que quand il n’est connu que d’une seule personne et inaccessible » Exactement l’inverse de la réalité du bruteforcing qui consiste à tester tous les caractères existants…
1 « J'aime »