LastPass a affirmé qu’il faudrait des millions d’années pour déchiffrer le mot de passe principal d’un utilisateur, mais une société concurrente affirme que le processus ne prendra pas autant de temps et pourrait être effectué pour seulement 100 $.
LastPass, une société de gestion de mots de passe populaire, a récemment été critiquée lorsque des coffres-forts de données client ont été obtenus via une attaque en août.
Maintenant, le rival de l’entreprise, 1Password, revendique que LastPass ne protège pas suffisamment les données des clients.
Un article de blog du principal architecte de sécurité de 1Password, Jeffrey Goldberg, explique l’importance d’utiliser des mots de passe générés par la machine plutôt que des mots de passe générés par l’utilisateur.
“Si vous considérez tous les mots de passe à 12 caractères possibles, il y a environ 272 possibilités. Il faudrait plusieurs millions d’années pour tous les essayer. En fait, cela prendrait beaucoup plus de temps”, écrit-il.”Mais les gens qui déchiffrent les mots de passe créés par l’homme ne le font pas de cette façon. Ils configurent leurs systèmes pour essayer d’abord les mots de passe les plus probables.”
Goldberg note que la plupart des mots de passe créés par les utilisateurs peuvent être déchiffrés en moins de 10 milliards de suppositions grâce à un processus coûtant à peu près 100 $.
C’est une mauvaise nouvelle pour l’utilisateur moyen, qui crée généralement un mot de passe plus court et moins complexe que celui généré par une machine.
Il souligne que 1Password ajoute une couche de protection supplémentaire : la clé secrète. La clé secrète d’un client est créée sur l’appareil, jamais envoyée à 1Password et est nécessaire pour déchiffrer les données de l’utilisateur.
Ainsi, bien qu’un pirate puisse théoriquement être en mesure d’obtenir le mot de passe principal d’un utilisateur 1Password, il est inutile sans la clé secrète.
Le blog se termine en rassurant les utilisateurs que 1Password est allé au-delà pour protéger leurs données, même si les utilisateurs ne suivent pas les meilleures pratiques et n’utilisent pas de mots de passe générés par la machine.
“Nous n’avons pas été piratés et nous ne prévoyons pas d’être piratés. Mais nous comprenons que nous devons planifier d’être piratés”, écrit Goldberg.”La clé secrète 1Password n’est peut-être pas l’aspect le plus convivial de notre conception centrée sur l’humain, mais cela signifie que nous pouvons dire en toute confiance que vos secrets resteront en sécurité en cas de violation.”
LastPass a été critiqué pour ses pratiques de sécurité douteuses dans le passé.
En décembre 2021, les membres de LastPass ont signalé plusieurs tentatives de connexion en utilisant des mots de passe principaux corrects à partir de divers endroits. La société a assuré à ses clients que les attaques résultaient de fuites de mots de passe lors de violations par des tiers.
