LastPass est-il suffisamment sécurisé?

De ce fil de support sur le site Web LastPass:

LastPass dit qu'ils ne reçoivent jamais mon mot de passe principal. Je ne l’envoie pas aux serveurs LastPass lorsque je me connecte?

Non, lorsque vous vous connectez à LastPass, deux choses sont générées à partir de votre mot de passe principal en utilisant notre code discuté précédemment avant d'envoyer quoi que ce soit au serveur: le hachage du mot de passe et la clé de déchiffrement. Tout cela se fait localement.

• Le hachage du mot de passe est envoyé à nos serveurs pour vous vérifier. Une fois vérifié, nous vous renvoyons votre coffre-fort chiffré. Nous ne recevons que votre hachage, pas votre mot de passe principal.
• La clé de déchiffrement, qui ne quitte JAMAIS votre ordinateur, est ensuite utilisée pour déchiffrer votre coffre-fort une fois qu'il revient.

Alors pour répondre à vos questions:

Comment LastPass sait-il que mon mot de passe est correct?

LastPass n'a accès qu'à votre coffre-fort sous une forme chiffrée; ils ne peuvent pas le lire sans connaître la clé. Lors de la connexion, votre client envoie uniquement le hachage de votre mot de passe et LastPass le compare simplement au hachage de mot de passe qu'il possède.

Comment LastPass décrypte mes mots de passe sur un nouvel appareil?

La clé de déchiffrement est fonction de votre mot de passe. Par conséquent, la même entrée (votre mot de passe) produira toujours la même sortie (hachage + la clé de déchiffrement). C'est tout ce que votre nouvel appareil doit savoir pour décrypter votre coffre-fort.

Est-ce vraiment sécurisé?

La réponse à cette question dépend de la confiance que vous accordez à LastPass.

Si cela fonctionne exactement comme ils le disent, alors un mot de passe suffisamment fort devrait être relativement sécurisé.

Si à n'importe quel point ils obtiennent l'accès à votre mot de passe (qu'il soit intentionnel ou accidentel), vous devriez probablement le considérer comme compromis, et non seulement changer votre mot de passe LastPass, mais le mot de passe pour chaque compte que vous avez dans votre coffre-fort.

Et si j'oublie mon mot de passe principal?

Si vous oubliez votre mot de passe, vous perdez l'accès à votre coffre-fort. LastPass ne peut pas vous l'envoyer ni le réinitialiser. .

Pour les utilisateurs qui souhaitent échanger une partie de leur sécurité LastPass en échange d'un "filet de sécurité", LastPass vous permet de produire et d'utiliser mots de passe à usage unique , et vous pouvez même activer Accès d'urgence pour donner accès à votre compte à partir des utilisateurs spécifiés.

LastPass Help Desk - Mots de passe à usage unique

Mots de passe uniques

Si vous utilisez un ordinateur public non fiable et que vous devez accéder à vos données LastPass, mais que vous hésitez à le faire en raison des enregistreurs de frappe potentiels, LastPass fournit des mots de passe à usage unique (OTP) comme une option pour accéder en toute sécurité à votre compte.

Lorsque vous utilisez un ordinateur de confiance, accédez à https://lastpass.com/otp.php pour créer une liste de mots de passe aléatoires qui ne peuvent être utilisés qu'une seule fois pour vous connecter à LastPass. Vous devez être connecté au plugin pour gérer vos OTP. À partir de cette page, vous aurez la possibilité d'ajouter un nouveau mot de passe unique, d'effacer tous les OTP ou d'imprimer vos OTP.

Chaque fois que vous générez un nouveau OTP, il sera ajouté à votre liste. Ces mots de passe peuvent être imprimés ou emportés avec vous sur un périphérique de stockage portable. Vous pouvez ensuite revisiter la page ci-dessus pour vous connecter en utilisant ce mot de passe et vous pouvez être certain que, même s'il est capturé, le mot de passe ne permettra pas d'accéder à votre compte lors de tentatives ultérieures car il expire après une connexion avec lui une fois.

Vous pouvez même utiliser des OTP avec une autre forme d'authentification multifacteur (Yubikey, Google Authenticator, Sesame ou GRID), pour être encore plus sécurisé lorsque vous n'utilisez pas un ordinateur de confiance.

LastPass Help Desk - Accès d'urgence

Accès d'urgence

Craignez-vous que votre famille, vos amis, votre partenaire ou votre conjoint ait accès à des comptes importants si quelque chose devait vous arriver? Voulez-vous un moyen simple de leur donner les mots de passe et les identifiants dont ils auraient besoin pour gérer les comptes en votre nom? Préparez-vous à l'inattendu et assurez-vous que vos proches ne sont pas exclus de comptes importants, comme le paiement de factures ou de l'hypothèque, et qu'ils peuvent gérer votre héritage numérique.

Grâce à la fonction d'accès d'urgence, vous pouvez donner à votre famille et vos amis de confiance un accès à votre compte LastPass en cas d'urgence ou de crise. Vos contacts désignés pour l'accès d'urgence peuvent demander l'accès à votre compte et recevoir en toute sécurité les mots de passe et les notes sans connaître votre mot de passe principal. Vous décidez du temps qui doit s'écouler avant que l'accès ne leur soit accordé une fois qu'ils le demandent, et vous pouvez refuser l'accès s'il est demandé inutilement.

L'accès d'urgence peut également être utilisé comme une fonctionnalité alternative de récupération de compte, si vous craignez d'oublier votre mot de passe principal et que vous souhaitez vous assurer d'avoir un moyen de sauvegarde pour récupérer votre coffre-fort.

Veuillez noter: la personne avec laquelle vous partagez l'accès aura également besoin de son propre compte LastPass.