Maor_Winetrob/ShutterstockLe gestionnaire de mots de passe LastPass a été impliqué dans un scandale de fuite de données, chaque mise à jour aggravant la situation. Dans son article le plus récent, la société a assuré aux utilisateurs que leurs mots de passe étaient sûrs tant qu'ils suivaient les directives de LastPass. Aujourd'hui, le concurrent 1Password a publié une réfutation cinglante.
Pour résumer le scandale de la violation de données, en août, LastPass a informé les utilisateurs qu'il avait subi une violation de données, mais que les données et les comptes des clients étaient en sécurité. Cependant, début décembre, l'entreprise a reconnu que les pirates avaient “capable d'accéder à certains éléments d'informations sur les clients” ; mais n'a pas précisé de quel type d'information il pourrait s'agir. Et la semaine dernière, la société a révélé que les pirates avaient obtenu une “sauvegarde des données du coffre-fort client” ; mais que les informations contenues dans la sauvegarde seraient inaccessibles si les clients disposaient d'un mot de passe maître fort.
Plus précisément, LastPass a affirmé que si les utilisateurs suivaient les meilleures pratiques, il faudrait aux pirates “des millions d'années” ; pour deviner un mot de passe principal.
Le concurrent de LastPass (et notre premier choix pour les gestionnaires de mots de passe), 1Password, a contesté cette affirmation. Dans un article de blog, l'architecte principal de la sécurité de l'entreprise, Jeffrey Goldberg, a expliqué pourquoi il est trompeur d'affirmer qu'un mot de passe principal généré par l'utilisateur prendrait des millions d'années à deviner.
Il souligne que les mots de passe générés par les utilisateurs sont intrinsèquement plus cassables que leurs homologues générés par les machines, car les humains ne génèrent pas de mots de passe au hasard comme le font les ordinateurs. Et que les pirates sophistiqués n'essaieraient pas de déchiffrer d'abord les mots de passe générés par ordinateur. Comme les humains utilisent généralement des appareils mnémotechniques pour se souvenir des mots de passe, les pirates essaieront d'abord de deviner ces types de mots de passe.
Pour rendre les choses plus simples, Goldberg a utilisé ce qu'il appelle une “analogie idiote” ; (ce qui est en fait tout à fait apte à comprendre l'affirmation). Supposons que vous alliez au cinéma et que vous ayez oublié où vous avez garé votre voiture. Le premier endroit où vous chercheriez votre véhicule serait le parking du théâtre, pas toute la surface de la Terre. Dans l'analogie, le parking du théâtre représente les mots de passe maîtres mnémoniques générés par l'utilisateur, et toute la surface de la Terre représente les mots de passe maîtres aléatoires générés par ordinateur.
S'ils sont intelligents (et le sont probablement), les pirates s'attaqueront aux plus faibles générés par les utilisateurs les mots de passe d'abord plutôt que d'essayer de casser les mots de passe plus forts générés aléatoirement. Et ils ont des essais illimités pour chaque utilisateur dans la base de données de sauvegarde.
Inutile de dire que les choses ne semblent toujours pas bonnes pour LastPass. Et malheureusement, si vos informations font partie de cette violation de données et que vous avez utilisé une méthode non aléatoire pour créer votre mot de passe principal, vous devriez rechercher des moyens de vous protéger contre la cybercriminalité potentielle.
Source : 1Password