Commentaires : LastPass propose désormais de vous prévenir si vos mots de passe ont été publiés sur le darkweb

De manière proactive, le gestionnaire de mots de passe LastPass peut désormais vous avertir si vos identifiants ont été compromis suite à des fuites de données. Une fonctionnalité pertinente, mais, sans surprise, réservée aux seuls abonnés du service.

Je profite de cette article pour indiquer qu’on peut faire une recherche si un mot de passe a été compromis dans les paramètres de Chrome, c’est surement moins performant que ce que propose LastPass mais c’est gratuit, je l’ai découvert il y a pas longtemps alors je l’indique au cas où d’autres ne l’aurait pas vu.

1 J'aime

Je trouve cela un peu inquiétant quelque part. Ok pour signaler les noms d’utilisateur , adresses mail. Mais les mot de passe, cela signifie que l’appli est capable de les lire et les comparer sur d’autres sites. Cela me semble assez intrusif et ambiguë pour le coup.

2 J'aime

Une fonction de ce genre existe également sur Firefox « Firefox Monitor », qui se trouve dans le menu lié au compte Firefox.

3 J'aime

C’est d’autant plus bizarre que normalement les mots de passe sont encryptés avec AES 256 bits.

Update : sur leur site ils indiquent qu’ils recherchent les adresses mail et non les mots de passe.

Il faudrait voir exactement comment cela marche, mais je pense qu’en réalité seules les adresses mails ou logins sont utilisés pour faire la détection.

1 J'aime

A Baxter_X

Évidemment que l’appli peut lire les mots de passe, sinon elle ne pourrait rien faire. Ce qu’il faut éviter c’est que le service cloud y ait accès en clair. Le problème a résoudre est:

  • les mots de passe compromis sont connus De tous
  • l’adresse e-mail est connu de l’appli et du service
  • les mots de passe stockés dans le gestionnaire ne sont connus que par l’appli.

Tu as plein de solutions pour mettre en place une feature qui n’expose pas les mots de passe du gestionnaire au service cloud. Pourquoi pars tu du principe que ce n’est pas le cas?

Je pars du principe que c’est le cas, et heureusement que l’appli peu lire les mot de passe. Mais de la à aller les comparer avec « l’extérieur », c’est cela qui m’inquiète un peu. Même si je comprends l’idée derrière. Mais pour moi cela pourrait être exploitable d’une façon ou d’une autre.

Ce ne sont que les adresses e-mail, Dashlane intègre cette feature depuis longtemps déjà.

Ce ne sont que les adresses mail donc ça peut très bien être bidon. Quelqu’un peut récupérer des adresses mail et mettre des faux mot de passe en face, LastPass croira au piratage.
S’ils ne stockent pas en clair les mots de passe, ils pourraient au moins afficher les mots de passe trouvés sur le darknet afin que l’on puisse les comparer. Il y a le même problème avec haveibeenpwned qui ne fournit pas les mots de passe qui sont la preuve indispensable du piratage.