LastPass a informé ses clients aujourd’hui qu’ils sont désormais tenus d’utiliser des mots de passe maîtres complexes avec un minimum de 12 caractères pour augmenter la sécurité de leurs comptes.
Même si LastPass a répété à plusieurs reprises qu’il existe une exigence de mot de passe principal à 12 caractères depuis 2018, les utilisateurs ont eu la possibilité d’en utiliser un plus faible.
« Historiquement, alors qu’un mot de passe principal à 12 caractères était le paramètre par défaut de LastPass depuis 2018, les clients avaient toujours la possibilité de renoncer aux paramètres par défaut recommandés et de choisir de créer un mot de passe principal avec moins de caractères, s’ils le souhaitaient », a déclaré LastPass dans une nouvelle annonce aujourd’hui.
LastPass a commencé à appliquer une exigence de mot de passe principal de 12 caractères depuis avril 2023 pour les nouveaux comptes ou les réinitialisations de mot de passe, mais les comptes plus anciens pouvaient toujours utiliser des mots de passe de moins de 12 caractères. À partir de ce mois-ci, LastPass applique désormais l’exigence d’un mot de passe principal de 12 caractères pour tous les comptes.
De plus, LastPass a ajouté qu’il commencerait également à vérifier les mots de passe principaux nouveaux ou mis à jour par rapport à une base de données d’informations d’identification précédemment divulguée sur le dark Web pour s’assurer qu’ils ne correspondent pas à des comptes déjà compromis.
Si une correspondance est trouvée, les clients seront alertés via une fenêtre contextuelle d’avertissement de sécurité et invités à sélectionner un autre mot de passe pour bloquer les futures tentatives de piratage.
Dans le cadre du même effort pour accroître la sécurité des comptes, LastPass a également lancé un processus de réinscription forcée à l’authentification multifacteur (MFA) en mai 2023, ce qui a conduit de nombreux utilisateurs à rencontrer d’importants problèmes de connexion et à être exclus de leurs comptes.
« Ces changements incluent l’obligation pour les clients de mettre à jour la longueur et la complexité de leur mot de passe principal afin de respecter les meilleures pratiques recommandées et d’inciter les clients à réinscrire leur authentification multifacteur (MFA), entre autres », a déclaré Mike Kosak, analyste principal principal du renseignement chez LastPass.
« À partir de janvier 2024, LastPass imposera à tous les clients d’utiliser un mot de passe principal d’au moins 12 caractères.
« Le mois prochain, LastPass commencera également des vérifications immédiates sur les nouveaux mots de passe principaux ou les réinitialisera par rapport à une base de données d’informations d’identification connues violées afin de s’assurer que le mot de passe n’a pas déjà été exposé sur le Dark Web. »
LastPass a déclaré à Breachtrace que les clients B2C commenceraient à recevoir des courriels sur ces changements aujourd’hui, les clients B2B les recevant le 10 janvier.
Mots de passe maîtres craqués après la violation de 2022
Ces mesures sont le résultat direct de deux failles de sécurité LastPass divulguées en août 2022 et novembre 2022.
En août, la société a confirmé que son environnement de développement avait été piraté via un compte de développeur compromis après que les attaquants aient piraté l’ordinateur portable d’entreprise d’un ingénieur logiciel. Pendant la violation, ils ont volé du code source, des informations techniques et des secrets internes du système LastPass.
Les informations volées lors de cet incident ont ensuite été utilisées par des auteurs de menaces lors de la violation de décembre, lorsqu’ils ont également volé des données de coffre-fort client dans ses compartiments Amazon S3 cryptés après avoir compromis l’ordinateur d’un ingénieur senior DevOps en utilisant une vulnérabilité d’exécution de code à distance pour installer un enregistreur de frappe.
En octobre 2023, des pirates informatiques ont volé pour 4,4 millions de dollars de crypto-monnaie à plus de 25 victimes en utilisant des clés privées et des phrases secrètes qu’ils pouvaient extraire des bases de données LastPass volées lors des violations de LastPass en 2022.
Selon les recherches menées par Taylor Monahan et ZachXBT, développeurs de MetaMask, on pense que les acteurs de la menace déchiffrent désormais les mots de passe principaux LastPass volés pour accéder au mot de passe.
En utilisant cet accès, les acteurs de la menace recherchent des phrases de passe de portefeuille de crypto-monnaie, des informations d’identification et des clés privées et les utilisent pour charger les portefeuilles sur leurs propres appareils afin de les vider de tous les fonds.
LastPass affirme que sa solution de gestion des mots de passe est maintenant utilisée par plus de 33 millions de personnes et 100 000 entreprises dans le monde entier.