LastPass blinde la protection des mots de passe avec la validation en deux étapes
Cible d'un piratage informatique l'an dernier qui a permis aux attaquants de dérober des informations sensibles, comme des adresses de courrier électronique, LastPass est en train de revoir la sécurité de son service.
C'est dans ce contexte bien particulier que LastPass vient d'annoncer cette semaine l'arrivée de l'authentification multifactorielle, via l'application LastPass Authenticator. Il s'agit d'un logiciel à installer sur votre terminal -- qu'il faudra donc attacher à votre compte LastPass --, et qui générera des codes temporaires à entrer dans LastPass au moment de votre connexion au service.
Une fois l’application liée au compte, via un code-barre à scanner avec sa tablette ou son smartphone, celle-ci enverra une notification en push (un bouton « vérifier » sur l’appareil mobile ou sur la montre connectée) à chaque tentative de connexion. Les utilisateurs pourront ainsi accéder en deux étapes à leur coffre-fort contenant tous leurs mots de passe.
https://www.youtube.com/watch?v=aE-G_BblWb8
S'ils le souhaitent, les usagers ont aussi la possibilité de demander la création d'un code provisoire de six chiffres (utilisable pendant une minute) ou l'envoi d'un code par SMS, qu'il faudra saisir dans le programme pour valider au service. Cette couche de protection s'ajoute bien sûr à celle du mot de passe : elle ne la remplace pas.
L'intérêt de la double authentification (ou authentification forte) permet de garder le compte en sécurité. Même si le mot de passe est découvert par un tiers, il ne pourra pas s'en servir pour se connecter au compte : il lui manquera toujours le code provisoire, à supposer que l'activation du LastPass Authenticator a bien eu lieu avant. Dans ces conditions, il est alors très difficile d'accéder sans autorisation aux mots de passe.