Hack de Lastpass - Changez vite de mot de passe - Korben
lundi 15 juin 2015 à 23:30Le Shaarli de Ldfa 15/06/2015
Si, comme moi, vous aviez stocké des mots de passe en ligne sur LastPass, je vous conseille de changer votre mot de passe le plus rapidement possible.
J'en ai profité également pour supprimer tous les mots de passe que j'avais mémorisé, et ce n'est pas une chose simple, car il faut le faire pour chaque mot de passe, et une seconde fois dans les éléments supprimés, une horreur !!!
(Permalink)
Liens en vrac de SimonLefort 16/06/2015
Ça fait un moment que j'ai quitté LastPass pour KeePass (avec l'extension KeeFox). Au moins mes mots de passe sont stockés chez moi, pas chez une société externe. J'avais écrit un petit tuto de rappel quand je l'ai installé la dernière fois : http://links.simonlefort.be/?Ze8H_A
[Edit: Même si je n'utilise plus LastPass depuis un moment, j'ai fait un tour sur mes comptes pour tout supprimer. J'ai passé un temps bête à supprimer les sites un par un alors qu'il y a moyen de "purger" un compte ! Il faut aller sur cette page ( https://lastpass.com/delete_account.php ). J'ai "purgé" et puis supprimé le compte (et il m'a redis que tout avait été supprimé mais on est jamais trop prudent...).
(Permalink)
PoGo's Links 16/06/2015
Voilà pourquoi je n'utiliserai JAMAIS de service de ce genre !
(Permalink)
@Links from tsyr2ko's wandering 16/06/2015
Je suis sur LastPass et je ne compte pas mettre à jour mon mot de passe maître.
Le ton de Lastpass est BEAUCOUP plus appréciable que celui de Korben.
Le sel et le hash du main password ont été compromis. Ca veut dire quoi ?
Que le/les attaquant(s) sont en mesure de forgés une rainbow table pour retrouver VOTRE mot de passe.
Mais, si vous êtes précautionneux, et utilisez un mot de passe de plus de 16 caractères, il leur faudra plus d'un an (à la louche) pour arriver à casser le mot de passe.
De plus, puisque vous êtes au courant que ce mot de passe est TRES important (puisqu'il permet d'accéder à tout les autres), vous n'avez pas fait la bétise de le réutiliser ailleurs.
Je sais qu'à terme TOUT mes mots de passe seront compromis, sauf qu'entre temps, soit j'aurais changé le mot de passe en question (par un truc aléatoire, pas de réutilisation) soit j'aurai carrément fermé mon compte (GAFAM en priorité)
Donc arrêtez un peu de crier au loup, et INFORMEZ plutôt qu’APEUREZ !!
(Permalink)
Shaarli geek de geekz0ne.fr > Liens en vrac de SimonLefort 16/06/2015
Tout pareil, j'utilisais ça au tout début mais maintenant c'est Keepass + KeeFox c'est juste un bonheur de ne plus taper ses mots de passes ^^
Ma base de données est stocké sur mon PC maitre et je fait du partage réseau sur mes autres machines, j'ai aussi une copie du fichier sur mon Cloud (Cloud auto-hébergé) + sur mon PC portable quand je part en déplacement et que donc il n'a plus accès aux partages réseau ni Internet
Merci pour le petit tuto :
Installer KeePass + KeeFox sur Linux : http://links.simonlefort.be/?Ze8H_A
(Permalink)
Prog, actu, high tech : Liens en vracs 16/06/2015
Pour ajouter du propos à tsyr2ko :
PW Length | # of PW | PW Entropy | GPU-time | Electricity Cost at $0.10/kW-hr
-------------------------------------------------------------------------------------------
8 A-Za-z0-9 | 2x10^14 | 47.6 bits | 60 hours | $1
10 A-Za-z0-9 | 8x10^17 | 59.5 bits | 26 years | $4 600
12 A-Za-z0-9 | 3x10^21 | 71.4 bits | 100 000 years| $18 000 000 ($18 million)
14 A-Za-z0-9 | 1x10^25 | 83.4 bits | 390 million yrs| $69 000 000 000 ($69 billion)
16 A-Za-z0-9 | 5x10^28 | 95.2 bits |1500 billion yrs|$260 000 000 000 000 ($260 trillion)
-------------------------------------------------------------------------------------------
16 a-z | 4x10^22 | 75.2 bits | 1.4 million yrs| $242 000 000 ($242 million)
http://security.stackexchange.com/questions/12994/whats-the-practical-limit-for-rainbow-table-based-bruteforce
Cependant, je garde sous le coude keefox, je switcherais probablement dessus quand j'aurais de quoi auto héberger
(Permalink)
Si, comme moi, vous aviez stocké des mots de passe en ligne sur LastPass, je vous conseille de changer votre mot de passe le plus rapidement possible.
J'en ai profité également pour supprimer tous les mots de passe que j'avais mémorisé, et ce n'est pas une chose simple, car il faut le faire pour chaque mot de passe, et une seconde fois dans les éléments supprimés, une horreur !!!
(Permalink)
Liens en vrac de SimonLefort 16/06/2015
Ça fait un moment que j'ai quitté LastPass pour KeePass (avec l'extension KeeFox). Au moins mes mots de passe sont stockés chez moi, pas chez une société externe. J'avais écrit un petit tuto de rappel quand je l'ai installé la dernière fois : http://links.simonlefort.be/?Ze8H_A
[Edit: Même si je n'utilise plus LastPass depuis un moment, j'ai fait un tour sur mes comptes pour tout supprimer. J'ai passé un temps bête à supprimer les sites un par un alors qu'il y a moyen de "purger" un compte ! Il faut aller sur cette page ( https://lastpass.com/delete_account.php ). J'ai "purgé" et puis supprimé le compte (et il m'a redis que tout avait été supprimé mais on est jamais trop prudent...).
(Permalink)
PoGo's Links 16/06/2015
Voilà pourquoi je n'utiliserai JAMAIS de service de ce genre !
(Permalink)
@Links from tsyr2ko's wandering 16/06/2015
Je suis sur LastPass et je ne compte pas mettre à jour mon mot de passe maître.
Le ton de Lastpass est BEAUCOUP plus appréciable que celui de Korben.
Le sel et le hash du main password ont été compromis. Ca veut dire quoi ?
Que le/les attaquant(s) sont en mesure de forgés une rainbow table pour retrouver VOTRE mot de passe.
Mais, si vous êtes précautionneux, et utilisez un mot de passe de plus de 16 caractères, il leur faudra plus d'un an (à la louche) pour arriver à casser le mot de passe.
De plus, puisque vous êtes au courant que ce mot de passe est TRES important (puisqu'il permet d'accéder à tout les autres), vous n'avez pas fait la bétise de le réutiliser ailleurs.
Je sais qu'à terme TOUT mes mots de passe seront compromis, sauf qu'entre temps, soit j'aurais changé le mot de passe en question (par un truc aléatoire, pas de réutilisation) soit j'aurai carrément fermé mon compte (GAFAM en priorité)
Donc arrêtez un peu de crier au loup, et INFORMEZ plutôt qu’APEUREZ !!
(Permalink)
Shaarli geek de geekz0ne.fr > Liens en vrac de SimonLefort 16/06/2015
Tout pareil, j'utilisais ça au tout début mais maintenant c'est Keepass + KeeFox c'est juste un bonheur de ne plus taper ses mots de passes ^^
Ma base de données est stocké sur mon PC maitre et je fait du partage réseau sur mes autres machines, j'ai aussi une copie du fichier sur mon Cloud (Cloud auto-hébergé) + sur mon PC portable quand je part en déplacement et que donc il n'a plus accès aux partages réseau ni Internet
Merci pour le petit tuto :
Installer KeePass + KeeFox sur Linux : http://links.simonlefort.be/?Ze8H_A
(Permalink)
Prog, actu, high tech : Liens en vracs 16/06/2015
Pour ajouter du propos à tsyr2ko :
PW Length | # of PW | PW Entropy | GPU-time | Electricity Cost at $0.10/kW-hr
-------------------------------------------------------------------------------------------
8 A-Za-z0-9 | 2x10^14 | 47.6 bits | 60 hours | $1
10 A-Za-z0-9 | 8x10^17 | 59.5 bits | 26 years | $4 600
12 A-Za-z0-9 | 3x10^21 | 71.4 bits | 100 000 years| $18 000 000 ($18 million)
14 A-Za-z0-9 | 1x10^25 | 83.4 bits | 390 million yrs| $69 000 000 000 ($69 billion)
16 A-Za-z0-9 | 5x10^28 | 95.2 bits |1500 billion yrs|$260 000 000 000 000 ($260 trillion)
-------------------------------------------------------------------------------------------
16 a-z | 4x10^22 | 75.2 bits | 1.4 million yrs| $242 000 000 ($242 million)
http://security.stackexchange.com/questions/12994/whats-the-practical-limit-for-rainbow-table-based-bruteforce
Cependant, je garde sous le coude keefox, je switcherais probablement dessus quand j'aurais de quoi auto héberger
(Permalink)