Jannah Theme License is not validated, Go to the theme options page to validate the license, You need a single license for each domain name.
Technologie

Une brèche chez LastPass a des leçons de mot de passe pour nous tous

Ray Richard2023-01-05
Une brèche chez LastPass a des leçons de mot de passe pour nous tous


Alors que beaucoup d’entre nous se déconnectaient d’Internet pour passer du temps avec leurs proches pendant les vacances, LastPass, le créateur d’un programme de sécurité populaire pour la gestion des mots de passe numériques, a livré le cadeau le plus indésirable. Il a publié détails sur une faille de sécurité récente dans lequel les cybercriminels avaient obtenu des copies des coffres-forts de mots de passe des clients, exposant potentiellement les informations en ligne de millions de personnes.

Du point de vue d’un pirate informatique, cela équivaut à toucher le jackpot.

Lorsque vous utilisez un gestionnaire de mots de passe comme LastPass ou 1Password, il stocke une liste contenant tous les noms d’utilisateur et mots de passe pour les sites et applications que vous utilisez, y compris les comptes bancaires, de soins de santé, de messagerie et de réseaux sociaux. Il garde une trace de cette liste, appelée coffre-fort, dans son cloud en ligne afin que vous ayez un accès facile à vos mots de passe depuis n’importe quel appareil. LastPass a déclaré que les pirates avaient volé des copies de la liste des noms d’utilisateur et des mots de passe de chaque client sur les serveurs de l’entreprise.

Cette violation était l’une des pires choses qui pouvaient arriver à un produit de sécurité conçu pour prendre soin de vos mots de passe. Mais à part la prochaine étape évidente – changer tous vos mots de passe si vous avez utilisé LastPass – il y a des leçons importantes que nous pouvons tirer de cette débâcle, notamment que les produits de sécurité ne sont pas infaillibles, surtout lorsqu’ils stockent nos données sensibles dans le cloud.

Tout d’abord, il est important de comprendre ce qui s’est passé : la société a déclaré que des intrus avaient eu accès à sa base de données cloud et obtenu une copie des coffres-forts de données de dizaines de millions de clients en utilisant des informations d’identification et des clés volées à un employé de LastPass.

LastPass, qui a publié des détails sur la violation dans un article de blog le 22 décembre, a tenté de rassurer ses utilisateurs sur le fait que leurs informations étaient probablement en sécurité. Il a déclaré que certaines parties des coffres-forts des personnes – comme les adresses Web des sites auxquels ils se sont connectés – n’étaient pas cryptées, mais que les données sensibles, y compris les noms d’utilisateur et les mots de passe, étaient cryptées. Cela suggérerait que les pirates pourraient connaître le site Web bancaire utilisé par quelqu’un, mais ne pas avoir le nom d’utilisateur et le mot de passe requis pour se connecter au compte de cette personne.

Plus important encore, les mots de passe principaux que les utilisateurs ont configurés pour déverrouiller leurs coffres LastPass ont également été chiffrés. Cela signifie que les pirates devraient alors déchiffrer les mots de passe principaux cryptés pour obtenir le reste des mots de passe dans chaque coffre-fort, ce qui serait difficile à faire tant que les gens utilisaient un mot de passe principal unique et complexe.

Karim Toubba, le directeur général de LastPass, a refusé d’être interviewé, mais a écrit dans un communiqué envoyé par courrier électronique que l’incident démontrait la force de l’architecture système de l’entreprise, qui, selon lui, gardait les données sensibles du coffre chiffrées et sécurisées. Il a également déclaré qu’il était de la responsabilité des utilisateurs de « pratiquer une bonne hygiène des mots de passe ».

De nombreux experts en sécurité pas d’accord avec la tournure optimiste de M. Toubba et a déclaré que chaque utilisateur de LastPass devrait changer tous ses mots de passe.

« C’est très grave », a déclaré Sinan Eren, cadre chez Barracuda, une société de sécurité. « Je considère que tous ces mots de passe gérés sont compromis. »

Casey Ellis, directeur de la technologie de la société de sécurité Bugcrowd, a déclaré qu’il était significatif que les intrus aient accès aux listes d’adresses de sites Web que les gens utilisaient.

« Disons que je viens après vous », a déclaré M. Ellis. « Je peux consulter tous les sites Web pour lesquels vous avez enregistré des informations et les utiliser pour planifier une attaque. Chaque utilisateur de LastPass a maintenant ces données entre les mains d’un adversaire.

Voici les leçons que nous pouvons tous tirer de cette violation pour rester en sécurité en ligne.

La faille LastPass nous rappelle qu’il est plus facile de mettre en place des protections pour nos comptes les plus sensibles avant qu’une faille ne se produise que d’essayer de nous protéger par la suite. Voici quelques bonnes pratiques que nous devrions tous suivre pour nos mots de passe ; tout utilisateur LastPass qui avait pris ces mesures à l’avance aurait été relativement en sécurité lors de cette récente violation.

  • Créez un mot de passe complexe et unique pour chaque compte. Un mot de passe fort doit être long et difficile à deviner pour quelqu’un. Par exemple, prenez ces phrases : « Je m’appelle Inigo Montoya. Vous avez tué mon père. Préparez-vous à mourir. » Et convertissez-les en ceci, en utilisant des initiales pour chaque mot et un point d’exclamation pour les I : « Mn !! m.Ykmf.Ptd. »

    Pour ceux qui utilisent un gestionnaire de mots de passe, cette règle empirique est d’une importance primordiale pour que le mot de passe principal déverrouille votre coffre-fort. Ne réutilisez jamais ce mot de passe pour une autre application ou un autre site.

  • Pour vos comptes les plus sensibles, ajoutez un couche de sécurité supplémentaire avec authentification à deux facteurs. Ce paramétrage consiste à générer un code temporaire qui doit être saisi en plus de votre nom d’utilisateur et de votre mot de passe avant de pouvoir vous connecter à vos comptes.

    La plupart des sites bancaires vous permettent de configurer votre numéro de téléphone portable ou votre adresse e-mail pour recevoir un message contenant un code temporaire pour vous connecter. Certaines applications, comme Twitter et Instagram, vous permettent d’utiliser des applications dites d’authentification telles que Google Authenticator et Authy pour générer des codes temporaires. .

Clarifions une chose importante : chaque fois que les serveurs d’une entreprise sont piratés et que des données client sont volées, c’est la faute de l’entreprise qui ne vous protège pas.

La réponse publique de LastPass à l’incident fait peser la responsabilité sur l’utilisateur, mais nous n’avons pas à l’accepter. S’il est vrai que la pratique d’une « bonne hygiène des mots de passe » aurait aidé à garder un compte plus sécurisé en cas de violation, cela n’exonère pas l’entreprise de sa responsabilité.

Bien que la violation de LastPass puisse sembler accablante, les gestionnaires de mots de passe en général sont un outil utile car ils facilitent la génération et le stockage de mots de passe complexes et uniques pour nos nombreux comptes Internet.

La sécurité Internet implique souvent de peser la commodité par rapport au risque. M. Ellis de Bugcrowd a déclaré que le défi de la sécurité des mots de passe était que chaque fois que les meilleures pratiques étaient trop compliquées, les gens optaient par défaut pour ce qui était plus facile – par exemple, en utilisant des mots de passe facilement devinables et en les répétant sur les sites.

Alors n’écartez pas les gestionnaires de mots de passe. Mais rappelez-vous que la violation de LastPass démontre que vous prenez toujours un risque lorsque vous confiez à une entreprise le stockage de vos données sensibles dans son cloud, aussi pratique que d’avoir votre coffre-fort de mots de passe accessible sur n’importe lequel de vos appareils.

M. Eren de Barracuda recommande de ne pas utiliser de gestionnaires de mots de passe qui stockent la base de données sur leur cloud et d’en choisir un qui stocke votre coffre-fort de mots de passe sur vos propres appareils, comme KeePass.

Cela nous amène à mon dernier conseil, qui peut être appliqué à n’importe quel service en ligne : ayez toujours un plan pour extraire vos données – dans ce cas, votre coffre-fort de mots de passe – au cas où quelque chose se produirait qui vous donnerait envie de partir.

Pour LastPass, la société répertorie les étapes sur son site Web pour exporter une copie de votre coffre-fort dans une feuille de calcul. Ensuite, vous pouvez importer cette liste de mots de passe dans un autre gestionnaire de mots de passe. Ou vous pouvez garder le fichier de feuille de calcul pour vous-même, stocké dans un endroit sûr et pratique pour vous.

J’adopte une approche hybride. J’utilise un gestionnaire de mots de passe qui ne stocke pas mes données dans son cloud. Au lieu de cela, je conserve ma propre copie de mon coffre-fort sur mon ordinateur et dans un lecteur cloud que je contrôle moi-même. Vous pouvez le faire en utilisant un service cloud tel que iCloud ou Dropbox. Ces méthodes ne sont pas infaillibles non plus, mais elles sont moins susceptibles que la base de données d’une entreprise d’être ciblées par des pirates.

Toutes les actualités du site n'expriment pas le point de vue du site, mais nous transmettons cette actualité automatiquement et la traduisons grâce à une technologie programmatique sur le site et non à partir d'un éditeur humain.
Ray Richard2023-01-05
© Copyright 2023, All Rights Reserved  |  MIX9P
Bouton retour en haut de la page