le coffre fort des mots de passe braqué !

[christophe 38]

bonsoir

 

lu, à l'instant, sur un autre forum :

•  

 

Lastpass, vendu comme un logiciel de "coffre-fort" pour mot de passe (pour gérer les centaines de login/mdp pour se connecter aux services numérique ), s'était fait piraté plusieurs fois depuis août dernier.

Les données clients ont été volées (cad les données personnelles clients + adresses IP + les coffre fort clients avec la liste des sites, login et mdp en théorie cryptés...).
EDIT : seuls les mdp étaient chiffrés.
Les autres informations personnelles n'étaient pas protégées (dont votre liste de sites internet préférés, recommandables ou pas...)


Si vous êtes clients, changez vite votre mot de passe "maître", et préparez vous à des attaques intenses de hameçonnage...
EDIT: Et je conseillerais aussi de changer de gestionnaire de mot de passe (pour une boîte plus sérieuse).
Il est très probable qu'une partie de cette base de mot de passe soit rapidement décryptée (via attaque force brute en cloud AWS)

https://www.01net.com/actualites/mensonges-ehontes-chiffrement-de-merde-lastpass-est-violemment-critique-pour-ses-declarations-et-sa-securite.html

Comme souvent pour les entreprises victimes d'attaques informatiques, ils ont :

• tardé à informer le public du vol des données (4 mois après la première attaque ...)
• menti pour tenter de minimiser les conséquences de l'attaque (ou leur responsabilité légale)

Pour une fois, les mensonges ne sont passés, et ils se font attaquer par de nombreux experts en sécurité, et même les concurrents... 

Car visiblement, ils ont commis de nombreuses erreurs de sécurité élémentaires (pas autant que Parler, l'ancien réseau social préféré de l'alt-right, mais presque ...).
Pas de "salage"/salting des mots de passe
Chiffrage vulnérable (faible entropie)
 

Personnellement, je recommande quand même les gestionnaire de mot de passe, mais plutôt ceux à stockage local (type keypass), précisément pour éviter ce type de fuites massives de données.
EDIT : Lastpass lui, est un service de coffre fort synchronisé dans le cloud, pour pouvoir accéder à ses mots de passe depuis tous ses ordinateurs, smartphones et tablettes.
Moi, c'est plus simple, je ne fais jamais rien de sensible sur mon smartphone, vu l'impossibilité de vraiment bien sécuriser un smartphone grand public.
Et les téléphones aggréés par la NSA , eux sont tellement blindés qu'on ne peut rien faire dessus

 

Rappel:
les longues phrases de mot de passe (à personnaliser) sont bien plus solides que des mots de passe aléatoires courts (et plus faciles à mémoriser)
exemple https://xkcd.com/936/

 

 

 

 

[caolila]

il y a une heure, christophe 38 a dit :

Personnellement, je recommande quand même les gestionnaire de mot de passe, mais plutôt ceux à stockage local (type keypass), précisément pour éviter ce type de fuites massives de données.

 

Keypass   très bon je conseille aussi .

 

 

[speaktome]

il y a 34 minutes, caolila a dit :

 

Keypass   très bon je conseille aussi .

 

 

+1

[pmk]

Il y a 3 heures, christophe 38 a dit :

Personnellement, je recommande quand même les gestionnaire de mot de passe, mais plutôt ceux à stockage local (type keypass),

 

Il y a 2 heures, caolila a dit :

Keypass   très bon je conseille aussi .

 

Il y a 1 heure, speaktome a dit :

+1

Impossible de trouver Keypass avec Google. C'est pas plutôt Keepass ??

Perso, j'ai un "algorithme" de création de mes mots de passe qui me permet de les retenir facilement sans avoir à utiliser ce type d'application.

[El_TiTeP]

Effectivement c'est  Keepass et je préfère KeepasXC car il s'interface avec mozilla sans pluging.

Il 'interface aussi avec d'autres navigateurs

Edited January 3 by El_TiTeP

[caolila]

Keepass effectivement je l 'utilise depuis hummm 15 ans environ...  mais je n'ai pas tilté... 

 

 

 

 

 

Edited January 3 by caolila

[Nicolas Duguay]

Si je peux me permettre, le plus important, ici, c'est de souligner qu'un mot de passe seul, aussi long, complexe et protégé puisse-t-il être, n'est qu'un maillon faillible dans la chaîne d'authentification. Bref, ayez des mots de passe bien conçus, protégez-les si vous voulez dans des gestionnaires de mots de passe eux-même bien conçus, mais surtout, installez dès que c'est possible de l'authentification à multiples facteurs (2FA/MFA).

[caolila]

il y a 28 minutes, Nicolas Duguay a dit :

mais surtout, installez dès que c'est possible de l'authentification à multiples facteurs (2FA/MFA).

 

Keepass propose ce *genre de chose*... c'est une protection supplémentaire pour le coffre-fort.

 

 

J'ajouterai d'autre points ne jamais utiliser le même mot de passe sur différents sites... et les changer régulièrement.

Keepass propose/indique qu'un mot de passe doit etre changé...

 

 

[Nicolas Duguay]

il y a 28 minutes, caolila a dit :

J'ajouterai d'autre points ne jamais utiliser le même mot de passe sur différents sites... et les changer régulièrement.

Keepass propose/indique qu'un mot de passe doit etre changé...

 

 

 

Sur les changements fréquents de mots de passe, les « recommandations » ont longtemps fait l’objet de débats dans la communauté de l’infosec, mais le consensus actuel dit plutôt, tout en nuances, qu’on ne devrait PAS changer des mots de passe solides qui protègent des systèmes « courants » et non-critiques pour éviter que les usagers ne choisissent, par paresse, des combinaisons simplement cassables du genre « poupée001 » qui est remplacé par « poupée002 »… On recommande toutefois aux gestionnaires de systèmes critiques de régulièrement changer leurs mots de passe.

 

Votre ANSSI a d’ailleurs produit un guide pertinent sur tout ceci:

https://www.ssi.gouv.fr/uploads/2021/10/anssi-guide-authentification_multifacteur_et_mots_de_passe.pdf

 

 

[Xabi]

[img]https://www.commitstrip.com/wp-content/uploads/2016/10/Strip-Sécurité-Admin-password-final-1.jpg[/img]

 

Oui. On tape souvent sur les organismes d'Etat, en France.

Mais quand on les quitte, on se rends compte que finalement....

 

Concernant les pwd, suffit juste de faire un mot non documenté (@0&...) et long (>10-12 caractères) pour etre tranquille.

La faille viendra d'ailleurs, et ton keepass/Knox/Vault n'y changera rien.

 

J'ai eu l'intelligence d'utiliser le même pwd sur un site web avec login=mail... Ben évidement, j'ai perdu ma boite mail.

 

Et yahoo s'est fait pirater (bêtement) quelques millions de comptes. Perdu celle là aussi (moins gênant).

 

On parle cookies de session aussi ?

Edited January 3 by Xabi

[caolila]

Il y a 6 heures, Xabi a dit :

On parle cookies de session aussi ?

 

Oh non merci... j'ai une fois par an une session de "secu pour developpeur" de 2 jours avec TP....

 

 

Ras la casquette ...     même si je suis du genre psychoteur... il arrive un moment ou la sécu a outrance ne fait plus de sens... cela devient contre productif.

 

L'exemple des mots de passes "poupée001" etc de @Nicolas Duguay est un premier exemple.

 

Il y a 6 heures, Xabi a dit :

La faille viendra d'ailleurs, et ton keepass/Knox/Vault n'y changera rien.

 

 

Oui excatement...   d'un coté ils ferment/sécurisent tout et de l'autres il laisse des trous, des gouffres ouvert... ce n'est pas cohérent.

 

 

[speaktome]

Il y a 10 heures, pmk a dit :

 

 

Impossible de trouver Keypass avec Google. C'est pas plutôt Keepass ??

Perso, j'ai un "algorithme" de création de mes mots de passe qui me permet de les retenir facilement sans avoir à utiliser ce type d'application.

 

Oui désolé c'est bien keepass

 

Rien n'est fiable à 100% mais ce logiciel est considéré, y compris dans les "grandes boites" comme une référence. Vous pouvez mette aussi la database de mots de passe dans le cloud, mais attention, dans ce cas, il est préconisé d'utiliser aussi un fichier clé !

 

[Xabi]

https://www.commitstrip.com/fr/2017/09/06/the-biggest-security-challenge-of-all/?setLocale=1

 

Edited January 4 by Xabi