LastPass revient à nouveau sur ses formules, mais pas avec de bonnes nouvelles. Certaines fonctions sont ainsi retirées des comptes gratuits, tandis que l’abonnement Premium voit son prix doubler. Peut-être un rééquilibrage pour s’être montré un peu trop généreux en novembre dernier.
À l’automne 2016, LastPass faisait une annonce fracassante : la synchronisation mobile passait du Premium à la formule gratuite. Un choix audacieux et qu’aucun autre concurrent n’a fait jusqu’à présent. Le gestionnaire de mots de passe permet en effet à l’utilisateur de retrouver ses identifiants sur un smartphone, une possibilité qui avait pourtant de fortes chances de déclencher un abonnement.
LastPass, comme Dashlane, 1Password ou même KeePass, permet en effet de créer facilement des mots de passe forts pour chaque service. Plutôt que d’avoir « toto666 » partout, on génère une série aléatoire de dizaines de caractères. Problème, une fois sur smartphone, leur saisie s’avère des plus complexe. D’où l’attrait de la synchronisation via l’application mobile, d’ordinaire payante.
Deux fonctions en moins dans la formule gratuite
LastPass regrette peut-être ce choix au vu de ses dernières décisions. La synchronisation mobile reste en place pour les comptes gratuits, mais deux fonctions sont exfiltrées vers l’abonnement Premium : le contact d’urgence et le partage illimité. La première permet pour rappel de définir un contact qui, en cas de problème, pourra accéder à la réserve des mots de passe. Notez que si ce contact a déjà été défini par un utilisateur en compte gratuit, il restera en place. Le retrait n’est visible que pour ceux qui ne l’avaient pas encore fait.
L’autre changement, c’est le doublement de tarif de l’offre Premium. On passe ainsi de 12 à 24 dollars par an, ce qui reste encore dans la tranche basse pour ce type de service. LastPass se détachait il faut dire assez nettement face à la concurrence, puisque Dashlane par exemple réclame 40 euros par an et 1Password 3 dollars par mois.
L'offre Family en approche
Pour l’utilisateur gratuit qui n’utilisait aucune des deux fonctions mentionnées, aucun changement à l’horizon donc. L’abonné Premium verra par contre sa facture doubler, ce qui n’est jamais une bonne nouvelle. L’annonce permet en tout cas à LastPass d’aborder une nouvelle fois sa future offre Family, disponible plus tard cet été et qui permettra de gérer jusqu’à six utilisateurs d’un même foyer. Le découpage sera alors : l’offre gratuite, l’abonnement Premium à 24 dollars par an et l’offre Family à 48 dollars, également par an.
Commentaires (78)
#1
Je suppose qu’ils ont leurs raisons, et que ça a été réfléchi. Pourtant je trouve toujours très étrange les chemins qu’ils empruntent.
Pour ma part, ça ne me dérangeait pas tant que ça de payer un abonnement annuel pour la synchro mobile, et je pense que pas mal de monde était dans le même cas.
Ils ont dû perdre pas mal de client avec ce revirement. Et autant j’aurais compris qu’il remettent la synchro mobile en premium, autant là déplacer deux fonctionnalités à l’attrait relativement “faible” je pense tout en doublant le prix… hum.
#2
Perso, j’utilise un compte gratuit et je m’attendais vraiment à ce que la synchro mobile repasse en premium en lisant le titre. Je pense que j’aurai été forcé de payer un compte premium, car même si j’utilise assez peu la synchro mobile, c’est quand même vachement pratique quand on en a besoin.
#3
C’est clair que la plupart des comptes en gratuit ne se rendront même pas compte que ces options ne sont plus là.
Je suis en premium depuis quelques années, j’utilise une Yubikey en double facteur, et il n’y a pas trop le choix. Les autres services sont plus chers.
#4
Ancien abonné premium de Lastpass, je ne regrette absolument pas mon passage à Keepass sur PC et minikeeepass sur mon tél. Je suis désormais à l’abri de ces changements de tarifs et mes mot de passes ne sont plus dans le cloud…
#5
Pareil, je suis aussi passé sur Keepass et uen fois configuré avec quelques plugins, je ne pourrais plus m’en passer.
Et pour le mobile, un petit Keepass2Android et là, plus de problèmes pour synchroniser la base qui est certes sur un cloud privé, mais au moins je peux y accéder depuis n’importe quel périphérique.
#6
#7
#8
J’ai découvert LastPass il y a quelques mois après avoir commencé mon nouveau job, et je l’ai immédiatement adopté pour mes mots de passe personnels.
Personnellement la version gratuite me suffit pour l’instant, mais si je devais prendre la payante ce n’est pas 2€/mois qui vont me freiner.
J’utilise aussi XMarks, de LastPass Company, qui permet de synchroniser ses favoris cross-browser. Pratique quand on est WebDev.
Mais c’est bon de savoir, en lisant les commentaires, qu’il y a des alternatives intéressantes au cas où la politique LastPass devient critiquable.
#9
Lastpass est pas mal mais je suis quand même inquiet par leur soucis de sécurité assez graves… et être forcé de mettre mes pass dans un cloud me paraît être complètement anti-secure…
#10
#11
Vous partagez comment vos mots de passe avec KeePass ? Est-ce qu’il y a le double facteur ?
#12
#13
Je me suis longtemps posé la question de la raison d’exister de la version premium après l’expiration de mon abo il y a 2-3 mois, en l’état des choses je ne vois aucune raison de leur donner de l’argent :o
#14
keepass un jour, keepass toujours
" />
Sous android, j’utilisais keepassdroid avec une synchro descendante NAS–> Android via foldersync, et j’ai migré récemment sur keepass2android qui est mieux fini et qui permet de synchroniser la base en bi-directionnel avec mon NAS.
#15
#16
#17
Perso, j’ai du mal à comprendre comment on peut comparer LastPass et KeePass.
Avec LastPass, je peux aller sur n’importe quel ordinateur et me connecter à mon Vault en ligne. Sans logiciel, juste avec Internet.
Maintenant, LastPass est capable de vérifier l’âge des mots de passe et d’alerter. Lorsqu’il y a un leak, ils alertent aussi qu’il faut changer le mot de passe ….
Avec certains sites, le mot de passe peut être changer automatiquement.
Bref, je suis pas vraiment tenté de passer à KeePass pour perdre toutes ces fonctionnalités.
#18
Dans l’idée, si on s’accorde sur le fait que le fichier Keepass est suffisamment sécurisé, on pourrait même le donner au monde entier sans problème non ?
Mais bon c’est sûr que je n’ai pas envie de le tenter ^^“.
#19
C’est moins cher que 1password.
#20
Lesquels t’ont inquiété? Ils ont toujours réagi rapidement, et il n’y a pas eu à ma connaissance de bdd de mot de passe corrompus. Et si tu veux de la synchro faut bien passer par un truc accessible depuis les internettes, pour un néophyte c’est bien plus secure que de partager sa kdb en finissant par ouvrir son syno aux 4 vents.
#21
Pour ma part, J’ai découvert un programme gratuit il y a quelques semaines disposant d’un lot de fonctionnalités très intéressantes: SairVO.
Le plus important est qu’il a l’avantage de presenter une des meilleures sécurité existante avec un chiffrement des mots de passe quasi-inviolable.
Le probleme, c’est qu’inversement, l’accès au mot n’est pas immédiat (ça va de 1 à 10 secondes selon les capacites de la machine), ce qui peut causer des soucis de lenteur quand on a beaucoup de mots de passe à gérer.
Mais bon, vu que c’est gratuit, c’est un moindre mal.
#22
#23
Alors déjà se sont deux gestionnaires de mots de passe (et même un peu plus que çà pour Keepass) donc on peut les comparer.
Pourquoi je préfère Keepass ? J’aime pas l’idée d’avoir mes mots de passes dans le “cloud”. C’est tout, mais cela me suffit pour choisir une autre solution.
Ensuite, bien entendu, le coté opensource et indépendance penche dans la balance de beaucoup de monde aussi.
#24
#25
Que ce soit pour mes besoins personnels ou professionnels j’utilise Enpass et je dois dire que j’en suis très satisfait. L’interface reste en deçà de 1password mais l’application iOS est très jolie. Rien à redire sur la version Mac et PC.
#26
j’ai l’impression que je dois être le seul à me servir de ma tête pour retenir mes mots de passes 
" />
" />
jusqu’à ce que j’atteigne un vieille age, ca me parait être ce qu’il y a de plus fiable et rapide
#27
Bien content, moi aussi, d’être passé à KeePass lors du rachat de LastPass par LogMeIn, après avoir pourtant été un abonné Premium, car je ne me faisais aucune illusion sur le futur.
Auparavant j’utilisais une YubiKey pour authentifier les machines à partir desquelles j’accédais à LastPass, maintenant je l’utilise pour authentifier (en U2F + TOTP) les machines qui accèdent au DropBox (Android inclus).
Donc l’accès au fichier a déjà du double facteur, en plus du fait que le fichier stocké soit déjà chiffré avant envoi.
Outre l’élément open-source, KP est certifié par l’ANSSI…
#28
https://github.com/pfn/keepasshttp/
" /> )
pour avoir la complétion automatique dans mon navigateur
Et http://lechnology.com/software/keeagent/
pour stocker/charger mes clés ssh dans/depuis keepass
(les 2 sont sur la page de plugins keepass
#29
Moi j’ai une tonne de mot de passe, dont certains pour des accès pro etc.
" />)
De plus je ne conserve pas toujours la même méthode de construction de mot de passe.
Et enfin, le remplissage auto qui fait gagner du temps (
#30
Pour le pro je suis bien d’accord, j’utilise un simple KeePass en local, obligé car j’en ai plus d’une quarantaine dont certains changent régulièrement donc ingérable :) d’ailleurs, la logique voudrait que ce soit l’entreprise qui fournisse ce type de logiciel à ses employés. Ca éviterai de trouver des listes de mot de passes dans des classeurs Excel 
" />.
Pour le perso, je n’en ai qu’une dizaine, tous sur plus de 10 caractères Maj/min/chiffre/Caractères spéciaux en aléatoire. Ca peut paraitre compliqué, mais en fait, si on les tape régulièrement, c’est assez simple de s’en souvenir. Le début, c’est peut être un peu galère, après c’est machinal.
C’est un peu comme apprendre un numéro de téléphone, tu le sors de tes contacts au début, tu l’appelles / ils t’appelle de temps en temps, tu apprends vite le numéro. Ensuite tu le remets dans tes contacts . Mais ca évite d’être dépend de ton répertoire ! Même si techniquement, tu peux récupérer tes contacts Gmail/Outlook/etc depuis n’importe quel terminal connecté.
#31
Principe de la poussée d’@rchimade:
Toute société proposant un service gratuit à forte adoption, subit une force financière, dirigée du gratuit au payant et opposée à la valorisation finale de la société.
#32
#33
Je ne suis sur que de quelques mot de passe dans ma tête, en particulier ceux de mes boites mails : ca me permet de retrouver tous mes mots de passe via les fonctionnalités de réinitialisation de mot de passe en cas de pépin.
C’est surtout une question de confort, sans trop perdre en sécurité d’avoir une solution de gestion de mot de passe. Mais moi j’aime bien :)
#34
#35
Ça m’intéresse ! Tu utilises quels plugins et est-ce qu’il y a une intégration firefox ou il faut copier / coller le mot de passe ?
#36
Oui Keepass est une catastrophe il n’a pas tenu la journée chez moi.
Beaucoup trop basique, il ne remplit même pas les formulaires sur le web ce qui est pourtant l’intérêt principal de ce genre de logiciel.
#37
#38
double-clic pour copier, puis coller dans le formulaire web avec Keepass, c’est pas si compliqué.
#39
Keepass montre les mots de passe obsolètes pour que l’utilisateur les change. C’est sûr qu’il faut faire la manipulation pour le changer (à la fois dans Keepass et dans le service web concerné). Ça se fait facilement.
Et il suffit de placer sa base de mots de passe et sa clé Keepass dans un service “cloud” (hubiC, OneDrive, etc) et d’avoir le logiciel Keepass dans une clé USB (ou de l’installer sur l’ordinateur en question), et roule ma poule.
#40
#41
#42
KeeFox pour firefox permet de remplir auto les champs.
#43
#44
Ou avec la fonction Global Auto-Type, même plus besoin d’ouvrir la fenêtre KeePass.
#45
Actuellement, j’utilise Clipperz :
https://clipperz.is
Il est très basique :
Mais :
Ce qui m’inquiète (légèrement), c’est qu’il a l’air assez peu utilisé, et que les développeurs semblent avoir peu de moyens, ce qui n’est pas très bon pour la sécurité.
#46
Keepass a le ctrl+v
sur le site web on se met sur la case utilisateur
dans keepass on fait ctrl+v sur la bonne ligne -> cela remet le focus sur le navigateur, remplit le user, passe à la case suivante et met le mot de passe et valide
pas adapté à tous les sites (faut qu’un TAB fasse passer de la case utilisateur au mot de passe je pense)
#47
C’est malin, même après le passage de la synchro mobile en gratuit, je m’étais dit que j’allais garder mon premium, parce que le service le vaut largement.
Mais maintenant que ça double de prix, alors que je ne me sers pas des autres fonctionnalités du premium…
#48
#49
Vue comment est crypté les fichiers Keepass, pas de soucis avec ça. Maintenant, la question est : est-ce bien raisonnable quand même de le laisser sur d’autre serveur ? Je ne pense pas.
" />)
Perso, je fait comme tout le monde, mais mon keepass est sur mon serveur personnelle.
Et j’ai une autre Db pour les mdp en commun pour la famille ou pour le boulot. (Ce qui est bien pratique.
#50
Je me suis servie de Lastpass et maintenant de Keepass.
Gros avantage de Keepass ? Les Plugins. C’est un régale.
Pour le plus basique : ChromePass + keepassHttp et tout roule.
Je prend Keepass en version portable, je le met sur le serveur, je le lance où je veux + la BDD sur le serveur aussi. J’ai juste + plugin à installé et c’est réglé pour l’auto-complétion.
#51
J’utilise Lastpass et j’en suis satisfait. Il n’y a pas plus de risques de sécurité avec lastpass qu’avec keepass en synchro cloud. A moins que lastpass est une porte dérobée pour accéder aux mdp ils ne peuvent pas y accéder pas plus qu’avec un keepass. Opensource ne veut pas dire sécurisée cela veut dire que tout le monde peut y accéder mais si personne ne s’y intéresse alors il peut y avoir des failles veilles de plusieurs années cf actualité de début d’année.
#52
C’est même personnalisable ligne à ligne dans l’onglet “saisie automatique” :
==> “remplacer la séquence par défaut” :)
#53
#54
Et là on voit bien que personne ne s’intéresse à KeePass, il ne doit pas être safe !
#55
C’est vrai !
" /> J’ai voulu corriger en relisant après un appel téléphonique, mais c’était déjà trop tard. Ce serait bien qu’on nous laisse plus de temps pour pouvoir éditer un commentaire après sa publication…
Bon… Après, des fautes il y en a sur toutes les pages des forums !…
#56
Le seul souci c’est l’exportation qui est un peu galère lors du passage à Enpass
#57
Et ça marche si ton serveur est momentanément down ?
Je prends note que KeePass peut faire bien plus que ce que je pensais.
#58
#59
je n’ai pas dis ça. Ici il y a bien du monde qui s’y intéresse mais même sur du open source il peut y avoir des failles c’est tout ce que je dis.
Pour moi Lastpass est bien mieux fini que keepass avec authentification multifactorielle et application windows phone que n’a pas ou n’avait pas keepass du temps où j’ai choisis entre les deux.
#60
#61
Bizarre qu’aucune mention n’est faite de Roboform qui existe depuis bien longtemps avec les même fonctions comme la synchro multi-appareil et qui au moins n’est pas déjà fait hacker une fois comme LastPass, d’autant plus qu’ils font une grosse promo https://bitsdujour.stacksocial.com/sales/roboform-everywhere-4-yr-subscription
#62
#63
#64
Il est beaucoup plus intéressant pour des hackers de s’attaquer à LastPass ou des millions de passwords sont stockés que d’essayer s’attaquer à ton cloud privé pour craquer ta base keepass.
#65
Et cpas secure le gestionnaire de mdp Firefox , opéra enfin d’un navigateur ? :0
#66
Qq infos en passant coté Keepass :
https://github.com/keeweb/keeweb
#67
#68
#69
#70
Heu, l’ANSSI ? J’ai été voir leur site et c’est du Wordpress, avec un code HTML non optimisé, du JS crado (à 99% Jquery, non obfusqué…)
Ca doit pouvoir se pirater sans trop de difficultés, ce machin-là.
Tu as confiance dans des gens qui se disent spécialistes en sécurité et qui préfèrent confier leur vitrine à une société extérieure ?
De toute façon, il ne faut PAS confier ses mots de passe à tous ces sites Internet. Par définition, un mot de passe doit être secret, privé. Alors un système de mot de passe en ligne est tout simplement une hérésie. Il n’y a qu’à repenser aux fichiers clients d’Orange qui se sont retrouvés partagés il n’y a pas si longtemps.
#71
Nope. Comme le coffre est sur le serveur, cela ne marche pas. Comme n’importe quelle service en ligne en fait. Et pour des raisons de sécurité, Keepass ne fait pas de copie local et le synchronise avec le serveur distant. Il ne check que le serveur distant.
En revanche, ce que je fais pour éviter ce genre de déconvenue, c’est que je garde une copie de ce coffre en local sur une clé USB qui est sur mon porte clé donc sur moi.
Et de temps en temps, je le met à jour. (Je ne change/créé pas tout les jours de nouveau identifiant sur Keepass).
#72
L’open source est et restera LA solution de sécurité la plus fiable. Car si la solution est populaire,
Cela permet à tout le monde de voir le code. Et si quelqu’un trouve une faille, et ne veut pas la divulgué et en abusé, il y est tout autant possible que quelqu’un d’autre la trouve et la donner au développeur.
La où l’on ne connait pas le code utilisé par LastPass et comment LastPass l’a implémenter.
Du coup, si quelqu’un trouve une faille, ce n’est pas dit qu’une autre personne puisse la trouver facilement et surtout, légalement.
C’est pas pour rien que l’open source est la solution la plus adopté par les société en général. Cela leur permet, avec leur prime de découverte de faille, de motiver les Hacker à les trouver et leur donne en plus le code pour faciliter le tout.
Open source veut donc dire plus de contrôle de la part de n’importe qui. Cela ne veut pas dire que c’est plus sûr bien sûr.
Mais à algo équivalent, KeePass est plus sûr car contrôlé par plus de personne.
#73
Tu utilise un navigateur web donc pas juste “Internet” et il faut avoir confiance en l’ordinateur de quelqu’un d’autre…
#74
Je pense aussi que l’opensource est la bonne manière de faire car statistiquement on peut avoir bien plus de personnes qui recherche dessus à condition d’avoir un programme de récompense de bug car il n’y a que ça qui motive les chercheurs en sécurité. Donc Lastpass a également son programme de récompense de bug :
https://bugcrowd.com/lastpass
Keepass n’en ayant pas je ne suis pas sûr que cela motive les gens de chercher dessus sachant en plus qu’il a passé un audit de sécurité sans révéler de failles fortes ou critiques. Donc Keepass en lui même est probablement(dans le sens statistique) safe mais après si tu utilises des plugins pour keepass c’est probablement là que va se trouver la faille/porte d’entrée et peux toucher plein d’utilisateurs de keepass d’un coup. En tout cas c’est par là que j’essaierai d’entrer.
Il faut toujours voir un système dans son ensemble, tu peux faire le super algo inviolable et derrière ça avoir un pluggin troué. La sécurité totale d’un système est défini par l’élément le plus faible.
#75
Dans mon cas, je laisse chaque appli faire ce pourquoi elle a été conçue :
- le client Nextcloud qui se synchronise sur le serveur Nextcloud/Keepass
- Keepass portable, qui ouvre le fichier local de DB issu de la synchro avec NC/KP)
- le client Nextcloud qui se synchronise sur le serveur Nextcloud/Keepass
- KeepassX qui ouvre le fichier local de DB issu de la synchro avec NC/KP).
Sur Android :
- Keepass2android, qui a accès au cloud NC/KP.
Plus de 280 entrées dans ma DB Keepass.
Pas de plugin Keepass, j’utilise le bon Ctrl-C/Ctrl-V
Mes MDP font tous 12 caractères à minima, bien “tordus”
Mes MDP sont tous différents.
Je connais pas cœur mes mots de passe les plus usuels.
Je ne veux pas confier ces données à des entités que je ne maîtrise pas, donc pas de service cloud hors perso.
Ce n’est pas le plus simple à mettre en œuvre mais cela fonctionne parfaitement.
#76
#77
idem.
Jamais je ne paierais jamais pour un truc qu’un post-it remplace doigts dans le nez.
#78
Pourquoi tu n’ouvres pas directement via WebDav/sftp la db Keepass pour tes clients locaux ?
En cas de perte du serveur ?