LastPass Hacked: changez votre mot de passe principal, activez l'authentification multifacteur

LastPass a publié aujourd'hui un avis de sécurité sur son blog informant les utilisateurs que ses serveurs ont été piratés et que certaines données ont été volées. Voici un aperçu de ce que LastPass a dit, comment changer votre mot de passe principal et activer l'authentification multifacteur pour faire bonne mesure.

LastPass piraté

Dans un article de blog, LastPass a donné quelques détails limités sur ce qui s'est passé:

Nous voulons informer notre communauté que vendredi, notre équipe a découvert et bloqué une activité suspecte sur notre réseau. Au cours de notre enquête, nous n'avons trouvé aucune preuve que des données cryptées du coffre-fort utilisateur ont été prises, ni que des comptes utilisateur LastPass ont été consultés. L'enquête a toutefois montré que les adresses e-mail du compte LastPass, les rappels de mot de passe, les sels de serveur par utilisateur et les hachages d'authentification étaient compromis.

Nous sommes convaincus que nos mesures de chiffrement sont suffisantes pour protéger la grande majorité des utilisateurs. LastPass renforce le hachage d'authentification avec un sel aléatoire et 100 000 tours de PBKDF2-SHA256 côté serveur, en plus des tours effectués côté client. Ce renforcement supplémentaire rend difficile l'attaque des hachages volés avec une vitesse significative.

La société a également déclaré: «Nous exigeons que tous les utilisateurs qui se connectent à partir d'un nouvel appareil ou d'une nouvelle adresse IP vérifient d'abord leur compte par e-mail, sauf si l'authentification multifactorielle est activée. Par mesure de précaution supplémentaire, nous inviterons également les utilisateurs à mettre à jour leur mot de passe principal. »

Une chose qui est plutôt irritante pour de nombreux utilisateurs est qu’ils trouvent ces informations sur des sites Web. Comme la société a également déclaré dans son article que des e-mails étaient envoyés à tous les utilisateurs au sujet de l'incident de sécurité. Au moment d'écrire ces lignes, je n'en avais pas reçu, et à en juger par les commentaires sur le blog LastPass, ni l'un ni l'autre n'a beaucoup d'autres utilisateurs.

Changer votre mot de passe principal LastPass

Pour modifier votre mot de passe principal, puis cliquez sur Paramètres du compte dans le volet gauche.

Ensuite, dans la fenêtre Paramètres du compte, cliquez sur Modifier le mot de passe principal dans la section Informations d'identification de connexion.

Cela vous amènera à la page de réinitialisation du mot de passe où vous pouvez simplement suivre les instructions à l'écran pour changer votre mot de passe principal. Au cours du processus, LastPass rechiffrera tout et vous enverra un e-mail de vérification indiquant que vous avez changé de maître.

Activer l'authentification multi-facteurs pour LastPass

Pendant que vous y êtes, nous vous recommandons d'activer l'authentification multifactorielle pour votre compte LastPass. Il ajoute une couche de sécurité supplémentaire à votre compte et vous donnera plus de tranquillité d'esprit que vos mots de passe sont sécurisés.

Dans sa déclaration d'aujourd'hui, LastPass a déclaré: «Nous exigeons que tous les utilisateurs qui se connectent à partir d'un nouvel appareil ou d'une nouvelle adresse IP vérifient d'abord leur compte par e-mail, sauf si vous avez authentification multifacteur activée."

Nous vous avons montré comment Activer l'authentification à deux facteurs LastPass il y a quelques années. Le processus est extrêmement simple et il n'y a pas de meilleur moyen de sécuriser votre compte LastPass. Honnêtement, dans le climat en ligne que nous connaissons aujourd'hui, l'activation de l'authentification à deux facteurs n'est vraiment plus facultative si vous souhaitez sécuriser vos comptes en ligne. Nous en avons parlé en profondeur ici chez groovyPost et nous prévoyons de nous concentrer davantage sur cela dans les semaines à venir.

Pour activer l'authentification à deux facteurs ou multifactorielle dans Lastpass, accédez simplement à Paramètres du compte> Options multifactorielles et sélectionnez la méthode que vous souhaitez utiliser… Google Authenticator est probablement la plus simple.

Il existe d'autres services que les utilisateurs disposant d'un compte Premium (12 $ / an) peuvent utiliser comme les scanners d'empreintes digitales et les clés USB.

Mise à jour 16/06/2015:

Aujourd'hui, j'ai finalement reçu un e-mail de LastPass sur le problème de sécurité. Il est court et ne donne pas beaucoup plus de détails que ce que nous savons déjà.

Cher utilisateur LastPass,

Nous voulions vous alerter que, récemment, notre équipe a découvert et immédiatement bloqué une activité suspecte sur notre réseau. Aucune donnée chiffrée du coffre-fort utilisateur n'a été prise, mais d'autres données, y compris les adresses e-mail et les rappels de mot de passe, ont été compromises.

Nous sommes convaincus que les algorithmes de cryptage que nous utilisons protégeront suffisamment nos utilisateurs. Pour garantir davantage votre sécurité, nous exigeons une vérification par e-mail lors de la connexion à partir d'un nouvel appareil ou d'une nouvelle adresse IP, et nous inviterons les utilisateurs à mettre à jour leurs mots de passe principaux.

Nous nous excusons pour la gêne occasionnée, mais en fin de compte, nous pensons que cela protégera mieux les utilisateurs de LastPass. Merci de votre compréhension et de l'utilisation de LastPass.

Cordialement,
L'équipe LastPass

Dans l'ensemble, cela ne semble pas vous inquiéter car les mots de passe stockés dans votre coffre-fort sont bien protégés et n'auraient pas dû être compromis. Cependant, vous voudrez certainement changer votre mot de passe principal et activer l'authentification multifacteur dès que possible.