Non, LastPass ne révèle pas vos mots de passe

quand je l’ai entendu LastPass a été piratéVotre cœur s’est effondré ? Avez-vous déjà imaginé que tous vos comptes et mots de passe ont été piratés par des pirates aléatoires ? Si c’est le cas, j’ai une bonne nouvelle : vos mots de passe sont en sécurité. La violation impliquait le type d’informations sur les clients qu’un site doit conserver, et non le coffre-fort spécialisé et entièrement crypté qui contient vos mots de passe.


Alors, qu’est-ce qui a été volé dans la faille LastPass ?

Imaginez votre coffre-fort de mots de passe comme un coffre-fort rempli d’objets de valeur. Le vol de la boîte elle-même serait désastreux. Le piratage actuel revient à demander à quelqu’un de vous prendre en photo lorsque vous entrez dans une banque. Il existe certains risques pour votre vie privée, mais aucun pour vos objets de valeur stockés.

Il est important de distinguer le code qui compose le site Web LastPass de la base de données cryptée qui contient vos mots de passe. Un site Web est nécessairement exposé au monde extérieur – s’il ne l’était pas, personne ne pourrait le visiter. Cette exposition signifie que toute vulnérabilité peut être exploitée.

D’autre part, il ouvre votre coffre-fort de mots de passe avec un Mot de passe maître fort. L’architecture de sécurité zéro confiance, qui est une norme pour les gestionnaires de mots de passe, signifie que l’entreprise ne peut pas mettre la main sur vos données, point final. Les fédéraux ne peuvent pas forcer LastPass à révéler vos mots de passe. Un employé mécontent ne peut pas les voler. Vous seul pouvez ouvrir la cave.

Comme vous vous en souvenez peut-être, LastPass a également souffert d’un site Web Brèche de sécurité en août 2022. Le pirate a obtenu l’accès et l’a conservé pendant quatre jours, saisissant du code source LastPass et des données techniques privées, mais pas de mots de passe. Selon un communiqué de la société, le piratage qui vient d’être révélé est basé sur Des informations ont été volées lors de la violation précédente.

LastPass n’a pas précisé avec précision quelles informations ont été capturées lors de la violation, l’appelant « Certains éléments de nos informations clients(Ouvre dans une nouvelle fenêtre). Étant donné que la violation s’est produite dans un service de stockage en nuage tiers utilisé par LastPass, sa société mère Goto et d’autres, je soupçonne que des pirates ont pris des informations sur les clients telles que des adresses e-mail, des adresses postales et éventuellement des informations de carte de crédit cryptées. hack ne s’est pas approché de vos mots de passe.


On a vu pire

Comme indiqué, vos mots de passe résident dans une base de données cryptée sur Internet et ne sont décryptés que lorsque vous devez les utiliser sur votre ordinateur local. c’est Fais Cela signifie que votre mot de passe existe localement sous forme non cryptée, au moins temporairement. Un piratage en 2019 a profité de ce fait, créant une subversion Extension Chrome LastPass Pour extraire le dernier ensemble d’informations d’identification de connexion. L’équipe de sécurité de LastPass a rapidement corrigé les extensions Chrome et Firefox et a effectué une analyse approfondie des extensions pour les autres navigateurs.

Selon le chercheur qui a découvert la faille, le pirate pourrait coder un site Web afin qu’il récupère l’entrée la plus récente de LastPass, bien que cela obligerait la victime à cliquer plusieurs fois sur la page de phishing. Il n’est pas clair si ce vol aurait impliqué l’URL correspondant aux identifiants de connexion, bien qu’il soit possible que ces informations aient été obtenues par d’autres moyens.

READ  Utilisez Apple Notes à son plein potentiel avec ces conseils

C’est certainement pire que le dernier événement de sécurité, où un criminel pouvait accéder à un seul ensemble d’informations d’identification de connexion. Mais à moins que vous n’ayez utilisé le même mot de passe sur plusieurs sites (mauvaise idée !), il ne s’agit que d’un seul compte à risque. Tous les autres mots de passe stockés dans votre coffre-fort. La crypte elle-même est encore intacte.

Recommandé par nos rédacteurs


Faut-il utiliser un gestionnaire de mots de passe ?

Alors, il est temps d’abandonner Gestionnaires de mots de passe de luxe Et revenir à conserver une feuille de calcul de vos mots de passe ou un cahier papier ? Pas vrai. Les mots de passe tapés peuvent être volés, et devoir les taper manuellement signifie que vous serez tenté de les garder déraisonnablement courts et faciles. Vous pouvez copier et coller des mots de passe à partir d’une feuille de calcul, mais même si vous les mettez dans Google Sheets, vous n’aurez pas la commodité multiplateforme qu’offre un gestionnaire de mots de passe. De plus, confiez-vous vraiment vos mots de passe à la sécurité de Google ?

Lorsque LastPass a imposé des restrictions sur l’utilisation de sa version gratuite, De nombreux utilisateurs ont quitté le navire. Étant donné que vos mots de passe n’ont pas été réellement exposés lors de cette dernière violation, y a-t-il une vraie raison à cela Changer de gestionnaire de mots de passe? Peut-être là. LastPass a été parmi les premiers gestionnaires de mots de passe, et il est assez connu, c’est donc une excellente cible. Il est possible que vous soyez plus en sécurité en choisissant une solution de mot de passe efficace mais moins connue. Vous obtenez également un excellent gestionnaire de mots de passe gratuit de la part de ce gagnant du choix des éditeurs PCMag bitward.

Tout gestionnaire de mots de passe digne de ce nom utilise une architecture Zero Trust pour stocker les mots de passe. Mais vous devez sauvegarder votre part du partenariat de sécurité en choisissant un mot de passe principal fort, quelque chose dont vous vous souviendrez mais que personne d’autre ne devinera. Assurez-vous également d’impliquer votre gestionnaire de mots de passe Authentification multifacteur le système. De cette façon, même un fraudeur qui vole votre mot de passe long et fort ne pourra pas y accéder.

Les pirates pirateront, et parfois ils réussiront même à pirater un site Web de gestionnaire de mots de passe. Comme pour toute autre violation de données, ils peuvent retirer certaines informations sur les clients. Mais pour les mots de passe eux-mêmes, ils sont hermétiquement scellés.

Vous aimez ce que vous lisez ?

signé pour Surveillance de la sécurité Une newsletter de nos principales histoires de confidentialité et de sécurité livrée directement dans votre boîte de réception.

Cette newsletter peut contenir des publicités, des offres ou des liens d’affiliation. L’inscription à une newsletter indique que vous acceptez Conditions d’utilisation Et le politique de confidentialité. Vous pouvez vous désabonner des newsletters à tout moment.

LEAVE A REPLY

Please enter your comment!
Please enter your name here