Dans un article de blog particulièrement détaillé, les équipes du fameux logiciel de gestionnaire de mots de passe LastPass (concurrent de 1Password) ont dévoilé les détails de cette attaque. Durant le week-end, des pirates ont réussi à mettre la main sur certaines données des utilisateurs du service : les adresses e-mail, les indices de mot de passe, le salage et la fonction de hachage. Toutefois, même avec ces données, les pirates n’auraient pas réussi à accéder aux mots de passe maîtres des utilisateurs et donc aux mots de passe stockés par les serveurs. Cela s’explique par l’architecture utilisée par LastPass pour accéder aux données protégées (plus de 100 000 itérations de la fonction PBKDF2-SHA256).
Afin d’éviter que l’attaque ne débouche sur un vol des mots de passe, l’équipe de LastPass a pris des mesures un peu plus draconiennes. Ainsi, l’accès au compte depuis un nouvel appareil ou une nouvelle adresse IP requiert une double vérification par e-mail, à moins que le compte soit déjà protégé avec l’authentification multifacteur. Il sera également demandé aux utilisateurs de modifier leur mot de passe maître. Il semblerait que tous les utilisateurs ne soient pas affectés par cet incident de sécurité puisque l’équipe précise qu’il ne sert à rien de modifier son mot de passe pour les utilisateurs qui ne recevraient pas de mail de la part de LastPass. Mais l’article demande toutefois aux utilisateurs qui ont utilisé ce mot de passe sur d’autres sites web de le modifier sur ces sites afin d’éviter une attaque grâce à l’adresse e-mail.
A lire sur le sujet
LastPass passe (enfin) à Material Design
Last Pass en profite pour rappeler que les mots de passe trop simples, basés sur les dictionnaires (comme « robert1, mustang, 123456799, password1! ») sont à proscrire et doivent être modifiés le plus rapidement possible.
Téléchargez notre application Android et iOS ! Vous pourrez y lire nos articles, dossiers, et regarder nos dernières vidéos YouTube.
Pas de quoi ;-)
Il faut vraiment le vouloir pour "perdre son compte Google" quand u l as securisé à 2 étapes... Je suis d'accord avec toi sur le fait que tout avoir à 1 seul endroit est risqué, maisle répartir à plusieurs endroits l'est aussi en multipliant les possibilités de hack..
Oups, en effet: ) merci!
Oui c'est ce que je dis^^
Ce que je comprend pas c'est pourquoi vous voudriez retenir 100/10/15 phrases.. Votre cerveau suffit simplement. Une seule et même phrase. Ordre des mots différents. Majuscules différentes. Avec 5 mots tu peux faire 25 mots de passe. Sans compter les majuscules. On passe vite à 2billions d'années de calcul pour le forcer. Ce genre de service est bon pour ceux qui n'ont pas envie de retenir, se logger/délogger de certain site. Mais bon. Rien n'est de toute façon infaillible.
Joli !
Et que penser de Dashlane alors ? <i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
Il y a d'autres moyen de se faire pirater qu'en crackant (et cracker doit représenter 0,5% des hack. Exemple : Le serveur est chiffré, OK les gars ne peuvent rien faire. MAIS, le PDG de Sony veut accéder au serveur. Il ouvre sont ordinateur et rentre le mot de passe pour déchiffrer les données du serveur. Ce qu'il ne sait pas, c'est que sont ordinateur a été infecté par un malware qui enregistre les touches de sont clavier. Et voilà, les hackeurs n'ont pas besoin de cracker ils ont récupéré le mot de passe à la source. Même principe pour LastPass, si on veut ton mdp principal on va te mettre un virus pas pirater les serveurs de LastPass pour ensuite attendre 800ans que le code soit cracké. Même principe pour Gmail, on va pas pirater les serveurs de Google pour voir ta boite mail, il suffit juste de te fouttre un malware sur ton virus est le tour est joué
est ce encore toi ? ou est ce quelqu'un d'autre qui s'amuse avec ton compte ;P
car il suffit d'un clown dans une de ces grande boite pour que tout s'effondre... or malheureusement le pistonage existe et on pistone alors un pote ou une connaissance plutot que d'embaucher quelqu'un de doué... pistonage de cadre :il se fait avoir par du phishing, hop tu as deja un pied dans la boite, apres faut trouver la grande porte... pistonage d'admin sys ou autre poste IT important : il a pas forcement les competences d'un autre et hop tu as un travail plus simple... bref tu peux etre le meilleur admin du monde, si parmis les gens de ton parc info ya un idio qui install un virus ou qui tappe son mot de passe sur un site de phishing bah le loup est entré dans la bergerie... s'il est tres discret tu vera rien pendant un certain temps...
je suis d'accord avec toi, meme si on inclus les nombre aleatoires pas si aleatoires pour facilité le hack... la NSA a quand meme besoin de pas mal de temps pour hacké un mot de passe... il est bien plus simple d'ecouter sur des serveurs (ou ou ton message a été décrypté...) genre tu ecris en cypté sur un site illegal... bah la NSA se casse le cul pour placer une ecoute sur l'hebergeur du site illegal... Ou encore mettre un spyware sur tous les "claviers" alternatif comme ca hop ils savent ce que tu tappe... c'est fou quand meme quand tu vois que des claviers alternatif bouffent pas mal de bande passante ^^ bizarement juste pour des stats ou ameliorer la prediction en mettant tes mots dans un cloud securisé quelle bonne blague ^^
bon allez je m'incline c'est trop pointu pour moi. Par contre vu que finalement ça a l'air si simple de sécuriser des données, pourquoi des sociétés comme Sony se font pirater assez facilement ? (je n'ai que cet exemple récent en tête mais y en a plein d'autres...)
joli !
je me demande combien de lecteurs vont tenter 123456 pour ton compte disqus ;)
entre ce que dis un site et la verité... moi j'aime bien cliquer sur "oublie de mot de passe" et voir ce que je recois - un nouveau mot de passe généré aléatoirement => top - un lien pour changer son mot de passe => legerement moins bon (ca veut dire qu'on peut essayer de trouver le lien... certes pas simple mais parfois faisable (sur des sites de merde j'en convient) - ou carrement recevoir par email TON mot de passe => site de clochard qui enregistre ton mot de passe en clair ! Franchement la CNIL DEVRAIT justement tester des sites et envoyé des amendes aux clowns qui font ca ...
je plaisante pour le site ^^ mais j'aime bien quand meme, le design est sympa, sobre et intuitif sympa de voir que des phrases genre tumefaitchierademanderunmot2passealacon! est un excellent mot de passe ;) en plus super simple a retenir lol
Moi aussi c'est ce que je fais (j'ai aussi Keepass je préfère quand c'est stocké en local). Et non "mon" site n'enregistre pas les mots de passes, c'est du javascript et ça reste en local aucune donnée n'est transmise par internet. Si tu veut tu charge la page, tu te déco d'internet et tu vera ça va fonctionner
perso soit j'utilise des mot de passe aleatoires que j'enregistre dans mon keepass un peut comme ton exemple ou alors je fait une phrase genre: "ceciEstUnMot2PasseFacileARetenir!" et la .. bah une attque dicctionnaire bonne chance ;) j'aime bien ton site, mais est ce que ce genre de site ne log pas justement ce que tappent les utilisateurs pour avoir un dico un peu plus evolé ;)
Euh... Réfléchis 5 minutes mon gars et arrête de regarder des films. Ceux qui ont fait ça ne sont absolument pas une agence gouvernementale.. C'est absolument inutile pour eux, ils s'en foutent des mots de passes. Si c'était la "NSA", rien que le fait de déchiffrer tout les comptes leur prendrais trop de temps (si ils en ont la capacité), pour ensuite devoir grab les mots de passes et les utiliser manuellement. Alors qu'au final les mots de passes ils s'en branlent. Ils veulent le contenu et pour ça suffit de placer des backdoors comme ils le font déja sur les câbles de communication. Soit disant passant, la NSA et tout les supercalculateurs ne peuvent déchiffrer du AES128 ni AES256 avec un mot de passe sécurisé et encore moins avec autant d'itteration.
je comprend pas qu'on puisse mettre ses mot de passe sur ce genre de service.... keepass => logiciel local, tu met ta base de donnée dans le cloud, sur un serveur ftp ou encore sur un serveur web ... et la faut vraiment t'en vouloir a TOI pour tenter de te hacker.... alors que la c'est un site ou ya les mot de passe de milliers de personnes... donc forcement plus interessant pour un hackeur
Donc selon toi tout ce qui est chiffré est indéchiffrable ??? Quid des super calculateurs et des outils de la nsa ?
Oui attaque bénigne pour LastPass mais pour ses utilisateurs quid ? Moi je pars du principe que tout ce qui est sécurisé/chiffré peut être "désécurisé" ou déchiffrer, il suffit que le/les hackeurs y mettent les moyens...
Non non c'est une langue, un dialecte est dérivé d'une langue. Le breton est une langue à part.
dialecte!
Oui jusqu'à la prochaine... pareil que Tre, pas de service de stockage de mdp. Local ou non, ça ne sera jamais inviolable et c'est une belle cible pour un hacker.
rassure toi mon génie personne le fait, à part peut etre orange ... j'vais meme t'apprendre un truc incroyable, ils stockent pas les mots de passes des services juste des versions encodées, incroyable hin ! Seulement ils ont une certaines honnêteté intellectuelle envers leurs clients, c'est pas parce que les pirates se sont arrêtés la, qu'avec les indications ils ne seront pas capable de trier tous les attardés près à mettre des mots de passe trouvable avec dico (hop la des que "name of" apparait, on tente 1000 prenoms et c'est fait).
You had one job
De la grosse merde ce genre d'apps lol
C'est à mourir de rire cette info. J'ai utilisé keypass droid un moment mais je dois avouer que l'identifiant de l'iris sorti ce matin par le japonais est une solution bien meilleur. <i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
Tu es jaloux, avoue ? Ce n'est pas un dialecte mais une langue à part entière, au même titre que le français !
Purée les bretons faut toujours qu'ils en casent une dans toutes les discussions sur leur dialecte...
merci pour ce lien je ne connaissais pas du tout.
mdr<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
Parceque ils ne veulent prendre aucun risque quand aux gogoles qui utilisent des mots de passes maitre faible. Si mon mdp de passe maitre c'est "1" ou "password", ils peuvent très facilement déchiffrer le conteneur avec les autres mots de passes car c'est des mots de passes commum qui sont en tête de liste des bruteforce ou attaques par "dictionnaire". Maintenant si mon mdp c'est "JIirjaJiR=)à684A" il te faudrait 4 quintillion d'années avec un ordinateur pour accéder au conteneur chiffré. Pour tester la sécurité de ton mot de passe tu peut aller check ici: https://howsecureismypassword.net/
Il y a plein de raisons de ne pas l'avoir sur soit. Sauf si on a besoin d'un abonnement chez un psy pour dépendance ^^
Les moyens mnémotechniques, il n'y a rien de mieux. En plus ça évite de ce retrouver comme un con parce qu'on a pas son outil d'assisté.
je ne comparais même pas à LastPass, je dis juste que tout centraliser sur un seul compte n'est pas forcément une bonne idée
Je pars du principe que la personne n'est pas "tête en l'air" :) Tu ne vas pas essayer de me faire croire que tu n'es pas scotché à ton téléphone :)
Et si t'as accès à ce service, tu fais comment ?
C'est tellement simple, surtout si on a pas son téléphone avec soit :-)
"Il sera également demandé aux utilisateurs de modifier leur mot de passe maître" alors pourquoi changer les MDP maîtres si seul les utilisateurs les connaissent ?<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
Différence avec LastPass? (sachant que si t'as pas linké ton gmail avec un autre compte mail ou numéro de téléphone, t'es pas malin)
Dans la plupart des cas, c'est faux : il te faut le mot de passe admin de l'ordi qui est demandé pour l'affichage des mots de passe stoqués.
Svp, relisez vous ! Proscrire et non prescrire. Merci.
bah oui comme ça quand tu perds ton compte Google, tu perds tout! :)
LastPass non plus
Tu peux également activé l'authentification en 2 étapes sur LastPass. Personnellement, je ne fais pas et ferais jamais confiance à Google pour stocker quelconques informations privées. D'autant plus que Google ne chiffre pas tes mots de passe et qu'il me suffit simplement d'avoir accès à ton ordinateur pour avoir tout tes mots de passe.
T'as pas l'air d'avoir compris le principe du chiffrement toi. Même avec un accès direct aux serveurs, les hacker ne peuvent prendre que des données chiffrés donc absolument I-NU-TILE. Le seul moyen de déchiffrer ces données c'est d'avoir le mot de passe principale (aka mot de passe maitre) et avec un mot de passe maitre un minimum sécurisé (6 ou +) contenant Majuscules et chiffres, je te laisse faire le calcul pour le nombre de combinaison possible. Et si tu me crois pas, Je te laisse déchiffrer ça (c'est qu'une seule lettre): -----BEGIN PGP MESSAGE----- Version: GnuPG v1.4.5 (FreeBSD) hQEOA1e+1x6YuUMCEAP9EpM4bPfzzJcniOxdvNWoyXryyABFwfCx1pHJieNRvO0b FEILR+w9rx807PJOSxTI92UfPomnhDVPTkv5vnrEZlp8DtSgdk7iM5MI+aWNVHyZ Ac8Aq564pWR0wOwdtfN3nFBH2MhKsiIB/zYgS6ENZk6tCLeZm1f1xcNaZc14au8D /RrLjsBYdDilHGvdB+jvKB/k2KjYsB61bSd4vtjzJg2MhVd4eC5tWZ+IhzhYT7q6 qorbRGCjlzBa3kRjQuFWmKmVnjeigSrz+Cc5qXJZdw7xmm4JdomZTAEmYV85q79b s2avyB+TdWWXcv8JvreJvg0wxBd8U6P8j719uizJ4oVZ0jwBWjicAVyORbjmohns qsCXaaqZHplcOQZp3uUTbTwGyOHMmb2sQBsDSfls1UNRk2VQSV8bgKEP5xIUWhU= =a0qG -----END PGP MESSAGE----- D'un côté t'as le choix entre 1 mot de passe sécurisé qui te fais accéder à tout et avec des risques très réduits de piratage, de l'autre soit des mots de passe très long que tu met trois plombs à remplir et avec pleins de risque de Keylogger, ou des mot de passe courts, voir encore pire, des mots de passes que tu utilises partout. En gros, le serveur à un conteneur chiffré qui contient des trucs du style de plus haut. Lors de l'ouverture du programme, l'utilisateur voit ce conteneur télécharger sur son ordinateur. Ensuite il rentre le mot de passe et si celui-ci est bon alors ça déchiffre. En gros, le serveur distant ne peut même pas voir tes messages. Même le PDG n'a accès qu'au conteneur chiffré
Oui :-)
Crois en ce que tu veux croire. LastPass a toujours été transparent pour les problèmes techniques qu'ils ont eut. Un mail a été envoyé à tous les utilisateurs utilisant LastPass et un billet à été publié sur leur site Internet expliquant le problème. frandroid n'a strictement aucune importance dans la crédibilité de LastPass. Je viens simplement répondre aux utilisateurs qui "chient" sur le service juste à cause d'un piratage bénin.
Non même pas. C'est plus compliqué et je remplace des lettres par symboles, des chiffres, etc.
Mat eo bevañ pell, bevañ mat avat zo gwell Je suis sur que j' en ai déjà un de tes mdp la ^^
Mais tu as besoin de 100mdp c'est ca ^^
C'est ce que je fais aussi et jamais eu de problème. Sauf que les phrases je les fait en Breton, bon courage pour savoir comment on n'écrit ça, il n'existe pas de traducteur fiable en ligne.
Oui oui... Développeur en plus, comme par hasard...
Euh... non... je ne commente simplement pas tous ce que je trouve sur Internet.
Ca l'est du moment ou tu peut faire mieux sans^^
On a pas tous les même besoin. Mais il faut comprendre que ce système n'est pas inutile pour tout le monde.
Tu es envoyé ici par LastPass ??? 15 commentaires seulement, je trouve curieux !
Deja j'ai pas besoin de 100 mdp, avoir un tel besoin faut s'inscrire a toute les merdes du net... Et retenir 10 ou 15 mdp surtout en phrase c'est pas trop compliqué.
C'est pas ce qu'avait dit sony après l'attaque d'il y a quelques mois? et puis ne faite si c’était grave.^^
Si tu arrives à retenir 100+ phrases différentes en les reliant à un site internet je te dis chapeau !
Suffit d'une seule phrase en mdp pour être plus efficace qu'une suite de 30 caractères. Donc non ce système n'a clairement aucune utilités.
Si tu as lu l'article, tu sais très bien qu'il n'y a rien à craindre et que c'est une attaque bénigne pour LastPass.
Oui j'ai lu. J'ai pour les sites importants type Google/PayPal des mots de passe différents avec chiffres, lettres et caractères spéciaux comprennant 12/16. Puis sites basiques avec certaines infos peu précieuses un mot de passe unique sur 10 caractères. Et enfin le fameux 123456 pour tout ce qui est sans intérêt et où je n'ai pas de données perso.
Donc en fait il vaut mieux laisser la gestion des mots de passe à Google, en securisant bien Google via la securisation à 2 étapes qui nécessite d'avoir son smartphone.
Il suffit d’utiliser la connexion en deux étapes : login/password + code généré sur son smartphone. Je fais la même chose pour Gmail, dropbox, facebook, linkedin, ...
On dit sont à proscrire, prescrire veut dire le contraire !
Sont à proscrire* ;-)
Ce service te permet d'avoir une centaine de mots de passe uniques d'une trentaine de caractère dont des spéciaux. Je ne sais pas quel système tu utilises, mais il est certainement moins sécurisé que LastPass. J'espère que tu as au moins lu l'article avant de commenter.
Et ce qui devait arriver arriva... C'est exactement pour cette raison que je n'utilise pas ce type de service.
Dashlane au moins ne stock pas les mots de passes maîtres sur ses serveurs leçon à retenir <i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix