Korben Interview du Blogueur NuitduHack & Crypto
Table des matières:
- Ne paniquez pas
- Prévenir vaut mieux que guérir
- Changer le mot de passe principal
- Authentification à 2 facteurs et autres options de sécurité
- Restriction par pays
- Toujours inquiet?
- Voulez-vous essayer des alternatives?
- Nos 2 cents
Nous avions tellement aimé LastPass que nous l'avions appelé le meilleur gestionnaire de mots de passe. Ainsi, lorsque l'histoire du piratage a éclaté il y a quelque temps, nous étions tous en état de choc. Mais cela signifie-t-il que tout le monde devrait abandonner LastPass et utiliser autre chose? Vos mots de passe sont-ils en sécurité dans le cloud? Pouvons-nous à nouveau faire confiance à l'entreprise? C'est ce que nous essayons de découvrir.
Ne paniquez pas
Inutile de dire que c'est la première chose à faire. La panique, ou pire encore, la diffusion de fausses informations par n'importe quel moyen, n'est tout simplement pas la bonne façon de réagir à une crise. Bien qu'il soit naturel d'avoir peur quand on lit une nouvelle comme celle-ci, il faut se rendre compte que la panique inutile ne sert à rien. LastPass a clairement expliqué dans son billet de blog, et je cite:
Au cours de notre enquête, nous n’avons trouvé aucune preuve de la prise de données chiffrées du coffre-fort d’utilisateur, ni de l’accès aux comptes d’utilisateur LastPass.
Oui, cela continue en disant que
L'enquête a toutefois montré que les adresses électroniques du compte LastPass, les rappels de mot de passe, les sels serveur par utilisateur et les hachages d'authentification étaient compromis.
Mais qu'est -ce que cela signifie, demandez-vous? En termes simples, cela signifie que même si tous vos mots de passe sont en sécurité, d’autres informations peuvent ne pas l'être. Pour lequel, encore une fois, le billet de blog a déjà énoncé quelques conseils utiles.
Oui, les données des gestionnaires de mots de passe sont stockées sur le cloud, mais les informations sont cryptées directement sur votre ordinateur. Et même si l'architecture en nuage implique un léger risque, vous pouvez rester tranquille en sachant que toutes les données cryptées n'y sont jamais stockées. Qui incluent tous vos mots de passe.
Conseil utile: consultez notre Guide ultime sur les mots de passe pour tout savoir sur la création et la gestion de mots de passe sur Internet.
Prévenir vaut mieux que guérir
Ce vieil adage ne pourrait jamais être plus pertinent qu'en ces temps d'introspection sur Internet et de perte de vie privée. Voici quelques étapes à suivre pour votre compte LastPass afin de ne pas perdre votre sommeil à la suite de tels incidents.
Changer le mot de passe principal
Pour changer le mot de passe principal de LastPass, cliquez simplement sur Préférences, où vous trouverez la section Paramètres du compte à gauche. En cliquant dessus, vous aurez la possibilité de cliquer ici pour lancer les paramètres du compte, comme indiqué ci-dessous.
En cliquant dessus, vous ouvrez un nouvel onglet. Tout ce que vous avez à faire est de cliquer sur le bouton Changer le mot de passe principal et de choisir une alternative plus récente (et plus puissante).
C'est ça, l'étape la plus importante que vous devriez faire après cet incident!
Authentification à 2 facteurs et autres options de sécurité
Nous pensons qu'il est judicieux d'utiliser l'authentification à 2 facteurs dans la mesure du possible, et en particulier dans les endroits où des données sensibles sont stockées. LastPass a tout à fait raison de suggérer l'utilisation de ce service et nous pensons que vous devriez le faire immédiatement après avoir modifié votre mot de passe principal. En fait, envisagez d’ajouter le facteur d’authentification en deux étapes à tous les services que vous utilisez et qui contiennent des données sensibles.
Dans LastPass, vous trouverez les options multifactoriel dans les paramètres du compte (voir ci-dessus). C'est ici que vous trouverez des options pour sécuriser davantage votre compte LastPass. Vous verrez également l’option d’authentification de grille que nous avons décrite précédemment.
Restriction par pays
Une autre couche de sécurité que LastPass oblige ses utilisateurs à explorer est la politique de restriction par pays. Une fois activé, seuls les appareils provenant du pays de votre résidence pourront accéder à vos données LastPass. Si un appareil d'un autre pays tente d'y accéder, un message d'erreur s'affiche. Nous avons couvert cela en détail et vous devriez absolument le lire, si ce n'est déjà fait.
Toujours inquiet?
Ne sois pas. Il n'y a plus rien à faire ici. LastPass a déjà mis à jour sa sécurité et invite déjà les utilisateurs à vérifier par courrier électronique s’ils utilisent un nouvel appareil ou une nouvelle adresse IP. Pour vérifier cela, nous avons juste essayé et avons été heureux de signaler que cette étape fonctionne exactement comme annoncé.
Les utilisateurs existants sont également invités à modifier leur mot de passe principal, mais même si vous ne recevez pas cette invite, nous vous prions néanmoins de le faire. Enfin, nous aimerions citer Jeremi Gosney (expert en sécurité des mots de passe chez Stricture Group) qui a parlé à Ars Technica du piratage informatique -
Sur un NVIDIA GTX Titan X, qui est actuellement le GPU le plus rapide en matière de résolution des problèmes de mot de passe, un attaquant ne pourrait émettre que moins de 10 000 suppositions par seconde pour un hachage de mot de passe unique. C'est bon lent! Même les mots de passe faibles sont assez sûrs avec ce niveau de protection (sauf si vous utilisez un mot de passe absurdement faible). Et cela ne compte même pas le nombre d'itérations côté client, qui est configurable par l'utilisateur. La valeur par défaut est 5 000 itérations. Nous prévoyons donc au minimum 105 000 itérations. La mienne est fixée à 65 000 itérations, ce qui représente un total de 165 000 itérations pour protéger ma phrase secrète Diceware. Donc non, je ne suis certainement pas en train de suer cette brèche. Je ne me sens même pas obligé de changer mon mot de passe principal.
En fait, bon nombre de membres de notre propre équipe utilisent l'outil et nous avons effectué exactement les mêmes opérations que celles décrites ci-dessus. Et maintenant, nous souhaitons diffuser les connaissances à autant de personnes que possible.
Voulez-vous essayer des alternatives?
D'accord, si vous sentez que vous avez perdu confiance en LastPass à cause de tout cela, alors bien sûr, il y a toujours des alternatives. Si vous êtes prêt à investir un peu d'argent (et une partie de cette confiance perdue), il y a toujours 1Password. La même architecture et les mêmes mesures de sécurité sont en jeu, mais Agilebits, la société à l'origine de 1Password, a un meilleur bilan que LastPass. Nous entendons par là que cela n’a jamais été piraté. N'a pas été rapporté, pour être plus précis. Encore.
Transférer vos mots de passe dans iOS: il est facile de transférer vos données de LastPass vers 1Password pour iOS, une fois que vous avez lu notre article utile à ce sujet.
Si vous ne souhaitez rien dépenser, il existe une alternative gratuite. C'est ce qu'on appelle KeepPass et c'est open source, aussi. Nous avons également rédigé un guide pour transférer vos mots de passe LastPass à Keepass.
Bien que cela ne soit pas aussi pratique que 1Password, si vous êtes prêt à jouer, quelques plugins peuvent être ajoutés pour correspondre à la fonctionnalité de son homologue payant. Cela demande un peu de patience, alors soyez prêt.
Nos 2 cents
Il est très facile de blâmer une entreprise et de dire qu’elle n’a pas fait attention à vos données. Mais cela revient à blâmer les banques en cas de vol. Les gens n'ont pas arrêté de mettre leur argent là-bas et vous ne devriez pas non plus cesser de faire confiance aux gestionnaires de mots de passe, simplement parce qu'ils en ont été piratés.
Nous ne disons même pas que la sécurité était laxiste de la part de LastPass, mais ils ont définitivement besoin de chaussettes. Ce n’était pas la première fois qu’une menace était détectée dans leur système, mais à chaque fois rien de majeur n’était volé / perdu. Ils ont agi rapidement et ont informé les utilisateurs rapidement et ont déjà traité le problème de sécurité qui y a conduit. Avec un peu plus de précaution, vous pouvez vous assurer un état d'esprit beaucoup plus heureux. Si vous pouvez passer tout ce temps à réfléchir à votre solde bancaire, nous sommes certains que vous pourrez vous en tenir à quelques mots pour les mots de passe qui les protègent également?
Préparez-vous à augmenter le taux d'affranchissement > Je pensais que l'innovation la plus importante et la plus moderne de la poste était la transition entre les timbres léchés et les autocollants. Mais une foule d'outils d'expédition en ligne peuvent vous faire économiser de l'argent et du temps. vous ne devrez peut-être plus jamais faire la queue à votre succursale locale. En particulier, avec la prochaine hausse des prix de 2 cents le 11 mai, considérez ces outils en ligne pour gérer vos bes
Vous profiterez le plus du temps gagné. Au lieu de visiter une succursale, vous pouvez commander des boîtes d'expédition et des enveloppes sans frais, sans frais de livraison. Vous pouvez également passer des commandes pour les timbres et autres articles de première nécessité à livrer. Et une calculatrice d'affranchissement en ligne vous donne les taux actuels en fonction de la destination et du poids de votre colis.
Google pixel et pixel xl: voici ce que vous devez savoir
Google a lancé sa gamme de téléphones Pixel aux spécifications haut de gamme au prix de 649 $ aux États-Unis. Voici de quoi ils parlent et à quoi vous pouvez vous attendre.
Qu'est-ce que krack et que devez-vous faire pour protéger vos systèmes?
Avec Krack, le protocole de sécurité WPA est rendu inutile et n'importe qui peut exploiter votre système pour voir ce qui est partagé ou ce que vous voyez sur Internet.