LastPass piraté: Modifiez votre mot de passe principal, activez l'authentification multifactorielle

LastPass a publié aujourd'hui un avis de sécurité sur sonUn blog informant les utilisateurs que ses serveurs ont été piratés et que certaines données ont été volées. Voici un aperçu de ce que LastPass a dit, comment changer votre mot de passe principal et comment activer l’authentification multifactorielle.

LastPass piraté

Dans un article de blog, LastPass a donné quelques détails limités sur ce qui s’est passé:

Nous voulons informer notre communauté que vendredi,notre équipe a découvert et bloqué une activité suspecte sur notre réseau. Au cours de notre enquête, nous n’avons trouvé aucune preuve de la prise de données chiffrées du coffre-fort d’utilisateur, ni de l’accès aux comptes d’utilisateur LastPass. L'enquête a toutefois montré que les adresses électroniques du compte LastPass, les rappels de mot de passe, les quantités serveur par utilisateur et les hachages d'authentification étaient compromis.

Nous sommes convaincus que nos mesures de cryptage sontsuffisante pour protéger la grande majorité des utilisateurs. LastPass renforce le hachage d'authentification avec un sel aléatoire et 100 000 tours de PBKDF2-SHA256 côté serveur, en plus des tours effectuées côté client. Ce renforcement supplémentaire rend difficile l’attaque rapide des hachages volés.

La société a également déclaré: «Nous exigeons que tousLes utilisateurs qui se connectent à partir d'un nouvel appareil ou d'une nouvelle adresse IP vérifient d'abord leur compte par courrier électronique, sauf si l'authentification multifacteur est activée. Par précaution supplémentaire, nous inviterons également les utilisateurs à mettre à jour leur mot de passe principal. ”

Une chose qui est plutôt irritante pour beaucoup deles utilisateurs, c’est qu’ils découvrent ces nouvelles sur des sites Web. Comme la société l’a également déclaré dans son message, des courriels sont envoyés à tous les utilisateurs au sujet de l’incident de sécurité. Au moment de la rédaction de ce document, je n’en ai reçu aucun, et à en juger par les commentaires sur le blog LastPass, aucun d’autres utilisateurs ne l’a été.

Changer votre mot de passe principal LastPass

Pour changer votre mot de passe principal, cliquez sur Paramètres du compte dans le volet de gauche.

Ensuite, dans la fenêtre Paramètres du compte, cliquez sur Modifier le mot de passe principal dans la section Informations d'identification de connexion.

Cela vous amènera à la page de réinitialisation du mot de passeoù vous pouvez simplement suivre les instructions à l’écran pour changer votre mot de passe principal. Au cours du processus, LastPass va tout chiffrer à nouveau et vous envoyer un courrier électronique de vérification indiquant que vous avez modifié le maître.

Activer l'authentification MultiFactor pour LastPass

Pendant que vous y êtes, nous vous recommandons d’activerauthentification multifacteur pour votre compte LastPass. Il ajoute une couche de sécurité supplémentaire à votre compte et vous assure une plus grande sécurité quant à la sécurité de vos mots de passe.

LastPass a déclaré ce qui suit aujourd'hui dans sa déclaration: «Nous exigeons que tous les utilisateurs qui se connectent à partir d'un nouvel appareil ou d'une nouvelle adresse IP vérifient d'abord leur compte par courrier électronique, sauf si vous avez authentification multifactorielle activée."

Nous vous avons montré comment activer LastPass Two FactorAuthentification il y a quelques années. Le processus est extrêmement simple et il n’ya pas de meilleur moyen de sécuriser votre compte LastPass. Honnêtement, dans le climat actuel qui règne en ligne, l'activation de l'authentification à deux facteurs n'est plus une option si vous souhaitez sécuriser vos comptes en ligne. Nous en avons parlé en détail ici à groovyPost et nous prévoyons de nous concentrer davantage sur cela au cours des prochaines semaines.

Pour activer l'authentification à deux facteurs ou multifactorielle dans Lastpass, accédez à Paramètres du compte> Options multifactorielles et sélectionnez la méthode que vous souhaitez utiliser… Google Authenticator est probablement la plus simple.

D'autres utilisateurs de services disposant d'un compte Premium (12 $ par an) peuvent utiliser des lecteurs d'empreintes digitales et des clés USB.

Mise à jour du 16/06/2015:

Aujourd'hui, j'ai finalement reçu un e-mail de LastPass à propos du problème de sécurité. C’est court et ne donne pas beaucoup plus de détails que ce que nous connaissons déjà.

Cher utilisateur LastPass,

Nous voulions vous alerter que, récemment, notre équipedécouvert et immédiatement bloqué une activité suspecte sur notre réseau. Aucune donnée de coffre-fort d'utilisateur chiffrée n'a été prise. Cependant, d'autres données, notamment les adresses électroniques et les rappels de mots de passe, ont été compromises.

Nous sommes confiants que les algorithmes de cryptagenous utilisons protégera suffisamment nos utilisateurs. Pour garantir davantage votre sécurité, nous demandons une vérification par courrier électronique lors de la connexion à partir d'un nouvel appareil ou d'une nouvelle adresse IP, et nous inviterons les utilisateurs à mettre à jour leur mot de passe maître.

Nous nous excusons pour le désagrément occasionné, mais nous pensons que cela protégera mieux les utilisateurs de LastPass. Merci de votre compréhension et de votre utilisation de LastPass.

Cordialement,
L'équipe LastPass

Dans l’ensemble, cela ne semble rien avoir àpanique car les mots de passe stockés dans votre coffre-fort sont bien protégés et n’auraient pas dû être compromis. Cependant, vous voudrez certainement changer votre mot de passe principal et activer l’authentification multifactorielle dès que possible.