En 2022, le service de gestion des mots de passe LastPass a subi sa dernière violation importante, celle-ci entraînant la perte des données du coffre-fort du client (voir”LastPass partage les détails de la violation de la sécurité”, 24 décembre 2022). Des mois plus tard, la société a finalement fourni beaucoup plus d’informations sur la violation, quelles données ont été compromises et comment les utilisateurs doivent réagir. Les nouvelles informations sont utiles, mais cela ne me fait pas regretter d’être passé à 1Password.
Dans un article de blog rédigé avec soin, le PDG de LastPass, Karim Toubba, présente une chronologie plus détaillée de deux incidents enchaînés, avec le premier préparant le terrain pour seconde. Il dirige ensuite les lecteurs vers une paire de bulletins de sécurité avec des actions recommandées : un pour Utilisateurs de LastPass Free, Premium et Families et un autre pour Utilisateurs de LastPass Business. Enfin, il résume les actions que LastPass a prises pour mieux sécuriser ses systèmes. J’ai particulièrement apprécié la liste complète de tous les types de données consultés, avec des notes sur les champs chiffrés et qui ne l’étaient pas.
Notamment, l’entreprise affirme qu’elle n’a pas eu de nouvelles de l’attaquant ni vu aucune indication de l’utilisation des données.
Il n’y a eu aucune contact ou demandes faites, et aucune activité clandestine crédible n’a été détectée indiquant que l’auteur de la menace est activement engagé dans le marketing ou la vente d’informations obtenues au cours de l’un ou l’autre des incidents.
Si vous êtes intéressé par des trucs de sécurité, les différents messages valent la peine d’être lus, et LastPass a fait un bien meilleur travail de communication cette fois, même si c’est en retard. En particulier, si vous utilisez toujours LastPass, je vous recommande en suivant les conseils de l’entreprise pour :
Assurer la force de votre mot de passe principal Augmenter le nombre d’itérations de mot de passe Activer ou réinitialiser l’authentification multifacteur Examiner le tableau de bord de sécurité Activer la surveillance du dark web
LastPass n’a pas a encore mis les deux dernières options à la disposition des utilisateurs de LastPass Free, mais la société affirme qu’elle les activera sous peu. Fait intéressant, LastPass a considérablement augmenté le nombre d’itérations de mot de passe. Certains utilisateurs de longue date étaient encore fixés à ce qui est maintenant un niveau absurdement bas de 5 000, tandis que les nouveaux utilisateurs avaient 100 000 itérations. La valeur par défaut est maintenant de 600 000, c’est un gros changement.
Je me demande ce que Karim Toubba doit traverser. Il a rejoint LastPass en tant que PDG en avril 2022, et la première brèche s’est produite quelques mois plus tard, en août 2022. L’entreprise est probablement en mode crise depuis, et l’ampleur des changements (combinés à la brèche réelle, bien sûr !) suggère que sa position de sécurité précédente était problématique. Nous espérons que les adultes sont maintenant en charge et prennent les bonnes mesures pour prévenir de futures violations.
Passage à 1Password de LastPass et Authy
En plus de mon irritation avec l’interface de LastPass, la fonctionnalité , et la fiabilité, la violation a été la goutte d’eau qui a fait déborder le vase, alors je suis passé à 1Password et a importé mes données depuis LastPass. J’ai choisi l’approche consistant à exporter des données de LastPass et à les importer dans 1Password car la capacité d’importation directe de 1Password ne fonctionne pas si vous avez activé l’authentification multifacteur dans LastPass. Je n’étais pas à l’aise de désactiver cela, même temporairement.
Je ne suis pas tout à fait prêt à supprimer toutes mes données de LastPass, mais c’est sur ma liste une fois que je suis sûr que 1Password a toutes les fonctionnalités que je veux. Je me rends compte que certaines personnes n’ont pas été satisfaites des changements apportés à 1Password 8, mais en tant que personne qui n’utilisait pas particulièrement les versions précédentes, je n’ai pas été perturbé. Bien qu’il ne soit pas parfait, 1Password a été nettement plus élégant que LastPass, qui n’a jamais fourni quoi que ce soit ressemblant à une expérience Mac ou iOS native. C’était particulièrement vrai au cours des dernières semaines où j’ai utilisé LastPass, quand j’avais l’impression que l’entreprise procédait à des changements rapides dans le but de montrer aux utilisateurs qu’elle faisait quelque chose.
J’aime particulièrement utiliser mon Apple Watch pour déverrouiller 1Password sur mon iMac 27 pouces 2020 et ma montre ou Touch ID sur mon MacBook Air M1. LastPass a introduit l’authentification multifacteur basée sur les applications il y a quelque temps, mais il n’a jamais correctement accepté les entrées de son application watchOS, ce qui m’oblige à sortir mon iPhone à chaque fois pour confirmer la connexion dans son application iOS. J’ai ensuite réinitialisé l’authentification multifacteur de LastPass pour utiliser un mot de passe à usage unique basé sur le temps (TOTP) normal que j’ai stocké dans 1Password, qui le remplit automatiquement chaque fois que je me connecte à LastPass sur mon Mac-une nette amélioration par rapport au fait d’appuyer sur un bouton dans l’application iPhone de LastPass.
La prise en charge de TOTP par 1Password a été une grande victoire. J’ai commencé tôt avec les applications d’authentification, lorsque Google Authenticator était le seul jeu en ville. Quand j’ai appris que ses données ne seraient pas transférées vers un nouvel iPhone (c’est désormais possible si vous pouvez scanner un code QR sur l’ancien appareil), je suis passé à la version gratuite Authy, qui a fonctionné de manière acceptable et se synchronise sur mes Mac, iPhone et iPad. (J’ai brièvement essayé LastPass Authenticator, mais il n’est disponible que pour l’iPhone et l’iPad, et je déteste me tourner vers mon iPhone lorsque je me connecte sur le Mac.)
Authy fournit le Authy Desktop pour Mac, mais chaque fois que je veux me connecter à un compte nécessitant une authentification à deux facteurs, je dois lancer Authy Desktop, rechercher le site Web (je j’ai 28 comptes), cliquez sur un bouton pour copier le code, revenez à mon navigateur Web et collez le code. J’ai pensé à automatiser le processus avec Keyboard Maestro, mais ce ne serait rien de plus qu’un clic de singe fragile. La façon dont 1Password remplit automatiquement le TOTP lors de la prochaine étape du processus de connexion a été un énorme soulagement.
(Glenn Fleishman me rappelle que vous pouvez choisir d’utiliser à la place la prise en charge multiplateforme d’Apple pour les TOTP, mais qui ne fonctionne que dans Safari sous macOS. Si vous utilisez d’autres navigateurs ou applications, vous devez ouvrir Safari > Préférences > Mots de passe ou le volet Paramètres/préférences des mots de passe, vous authentifier, rechercher, cliquer et copier ; voir son article,”Add Two-Factor Codes to Password Entries in iOS 15, iPadOS 15, and Safari 15″, 7 octobre 2021. Et, bien sûr, il y a toute la vulnérabilité du trousseau iCloud si votre iPhone et votre mot de passe ont été volés ; voir”Comment un voleur avec votre iPhone Le mot de passe peut ruiner votre vie numérique », 26 février 2023.)
Déplacer ma configuration d’authentification à deux facteurs d’Authy vers 1Password a été difficile et a pris du temps. Amazon Web Services était le seul service qui m’a permis d’enregistrer 1Password comme dispositif d’authentification supplémentaire. Pour tous les autres comptes, j’ai dû réinitialiser l’authentification à deux facteurs ou la désactiver et la réactiver. La menace d’être complètement verrouillé sur un compte est effrayante, donc je fais attention d’ajouter le nouveau TOTP à la fois à 1Password et à Authy (encore) avant de supprimer l’ancien compte dans Authy. Bien que je ne prévois pas d’utiliser Authy après avoir tout configuré dans 1Password, cela ressemble à une sauvegarde utile si le stockage du TOTP dans 1Password avec les informations d’identification du compte semble problématique. N’oubliez pas d’enregistrer des codes à usage unique ou”à gratter”si un site les propose lors de l’activation de l’authentification à deux facteurs. Ils peuvent être une bouée de sauvetage si vous avez une éruption TOTP.
Tout comme avec la couverture du Wall Street Journal des vols de mot de passe iPhone, j’en suis venu à voir la violation de LastPass comme une opportunité de repenser mon approche de la sécurité des mots de passe. Je n’étais pas entièrement satisfait de LastPass avant la rupture, mais je n’arrivais pas à rassembler l’enthousiasme pour le changement. En nettoyant les doublons et autres crufités dans 1Password de manière organique, car j’ai besoin d’utiliser les sites associés, je peux grignoter une tâche qui serait trop énorme pour être affrontée en une seule fois-j’ai plus de 900 connexions. J’aurai finalement une meilleure maîtrise de mes mots de passe qu’auparavant.
Mais je serai toujours heureux si la prise en charge des clés de sécurité—voir”Pourquoi les clés de sécurité seront plus simples et plus sécurisées que les mots de passe”, 27 juin 2022 — se généralise rapidement, de sorte que je n’ai plus besoin de tous ces mots de passe puants !