LastPass Authentificator : la double-authentification simplifiée étendue à de nouveaux sites web

LastPass Authentificator : la double-authentification simplifiée étendue à de nouveaux sites web

Un ambitieux compagnon

Avatar de l'auteur
Vincent Hermann

Publié dans

Société numérique

04/08/2016 3 minutes
13

LastPass Authentificator : la double-authentification simplifiée étendue à de nouveaux sites web

LastPass propose une révision de son Authenticator pour Android et iOS. L’algorithme TOTP (Time-based One-time Password) peut désormais être utilisé avec un plus grand nombre de sites, simplifiant l’authentification à deux facteurs du produit.

En mars dernier, le gestionnaire de mots de passe LastPass se dotait d’un Authenticator, une application mobile pour Android, iOS, Windows Phone 8.1 et Windows 10 Mobile. Les versions Android et iOS viennent de recevoir une importante mise à jour qui ambitionne de simplifier l’authentification à deux facteurs.

La connexion TOTP se généralise

La version lancée au printemps prenait ainsi en charge l’algorithme TOTP, qui permet de valider une connexion en régissant simplement à une notification mobile, sans avoir à écrire le code à six chiffres. Une technique qu’utilise notamment Blizzard avec son Battle.net Authenticator. Mais LastPass ne le gérait que pour un petit nombre de services, dont le sien évidemment.

On garde donc la compatibilité avec l’extension LastPass pour les navigateurs, que l’on retrouve sous Chrome, Edge, Firefox et Opera. La procédure d’appairage n’a pas changé : on active l’authentification à deux facteurs dans les options, on scanne un code barre et l’application est liée. Lors des accès ultérieurs au coffre-fort, plutôt que d’entrer un code à six chiffres, on réagira simplement à la notification pour valider la connexion.

LastPass prend en charge des sites tiers pour sécuriser la connexion

Mais ce processus a été renforcé pour être davantage compatible avec d’autres sites. L'identification sur Amazon, Facebook, Evernote, Google et autres peut ainsi s’accompagner d’une telle vérification, que LastPass prend en charge. L’éditeur est du coup particulièrement fier d’annoncer que son application est la première à pouvoir être utilisée sur une base aussi large. On est donc à la fois sur l’utilisation de deux facteurs, et sur le renforcement de la sécurité pour des sites tiers. Attention cependant : cette fonction ne peut s’utiliser que si l’extension LastPass est installée dans le navigateur utilisé. Dommage que la version Windows ne soit pas encore mise à jour.

Rappelons que LastPass, racheté en octobre dernier par LogMeIn pour 125 millions de dollars, est un gestionnaire de mots de passe permettant de les stocker et de les chiffrer (localement), pour ensuite les synchroniser entre les machines connectées et reliées au compte. Qu'il s'agisse du stockage local ou sur le serveur, les données sont chiffrées en AES 256. Le service a cependant publié la semaine dernière deux alertes de sécurité pour des failles avaient été corrigées peu avant.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

La connexion TOTP se généralise

LastPass prend en charge des sites tiers pour sécuriser la connexion

Commentaires (13)


Et comme toujours, le même maillon faible


Essayé avec Amazon, j’ai pas la notif push pourtant j’ai bien le 2FA dans LastPass Authentificator…


Personnellement, j’ai tenté d’ajouté la double authentification d’Amazon sur Microsoft Authentificator (indiqué compatible et gérant aussi la notification) et ça me dit toujours que le code saisi est incorrect !


mon “indice” n’aidera jamais personne vu qu’il est lui même crypté et qu’il redirige à un document stocké sur une clé usb crypté avec mot de passe :p


Chiffré ! <img data-src=" />


Perso c’est passé sur Authy ou LastPass, mais pas en mode push, ce qui en faisait un réel attrait.&nbsp;


Moi aussi, j’ai un super mot-de-passe pour accéder à mes user/pass stockés sur lolsec.passw0rdz.ru



La sécurité, c’est important. <img data-src=" />








127.0.0.1 a écrit :



Et comme toujours, le même maillon faible





Je ne vois pas le maillon faible.&nbsp;



Tu n’es pas obligé d’utiliser un indice.

En plus l’envoi de l’indice est lié à la double authentification, à ton numéro de téléphone mobile ou encore à une seconde adresse mail de sécurité.&nbsp;



Ça laisse peut de marge de manœuvre…



Si seulement on pouvait avoir la liste des sites compatibles.


Je pointe seulement un point faible récurent des coffre-forts virtuels.



Ils ont tous un blindage épais (AES 256), mais on peut aller au guichet pour demander une copie de la clé (reset password).


J’ai hate que le Google Authenticator soit disponible un jour sous la forme d’une extension pour Chrome :)