LastPass, connu pour son gestionnaire de mots de passe, vient de lancer une nouvelle application mobile dédiée à l’authentification à deux facteurs. Pour une fois, l’application est directement disponible sous Android, iOS et Windows Phone.
LastPass est bien connu pour savoir qu’un mot de passe constitue la plupart du temps un maillon faible. Proposant depuis longtemps un gestionnaire capable de les stocker, il permet également d’en générer des forts pour remplir les formulaires d’inscription sur le web. Aussi, le service a beau être passé récemment en version 4.0 avec une longue liste d’améliorations, il n’en restait pas moins vulnérable aux mêmes faiblesses.
Comme toute coffre-fort numérique, LastPass est lui-même protégé par un mot de passe. Évidemment, en partant du principe que l’utilisateur n’aura plus besoin de retenir tous les autres identifiants utilisés sur le web, il est invité à prendre un soin très particulier dans l’élaboration de cette protection. Un mot de passe long, sans aucun mot du dictionnaire, avec des minuscules, majuscules, chiffres et caractères spéciaux est ainsi fortement recommandé. LastPass proposait bien l’authentification à deux facteurs, mais son utilisation est désormais simplifiée.
Un code-barre à scanner pour lier l'application
On note ainsi l’arrivée d’une application mobile dédiée à cet usage. Simplement nommée LastPass Authenticator, elle n’a qu’une mission : fournir un code temporaire qu’il faudra entrer dans le service pour ouvrir la « crypte », nom donné à la réserve des mots de passe. L’avantage pour l’utilisateur est qu’il ne devra donc plus donner le mot maître, souvent long, rébarbatif, avec le risque que quelqu’un observe la frappe au clavier. Le code donné par l’application, contenant six chiffres, n’est valable que 30 secondes.
Pour mettre en place l’appairage, il faut se rendre dans les options de compte sur le service et commencer par entrer ses identifiants LastPass. Dans la zone réservée à l’authentification, il faut activer ensuite les facteurs multiples, ce qui fera apparaître un code barre. Il suffira alors de le scanner depuis l’Authenticator pour lier le compte à l’application.
Compatible Google Authenticator et TOTP
Tant qu’à proposer une telle fonctionnalité, LastPass a souhaité que son application ne soit pas utilisée que pour ses seuls besoins. Elle peut donc évidemment servir pour LogMeIn (qui a racheté le service), mais également pour l’ensemble des connexions acceptant le Google Authenticator ou celles basées sur l’algorithme TOTP (Time-based One-time Password).
L’arrivée de cette application est donc une étape logique pour LastPass, qui a tout intérêt à protéger autant que possible la crypte des mots de passe. La société n’est cependant pas la première à intervenir dans ce domaine, loin de là. Google propose évidemment son Authenticator depuis un bon moment, Dashlane a annoncé récemment le support des clés U2F ainsi qu’une association avec Yubikey, et même Microsoft se prépare à fournir une application pour déverrouiller Windows 10.
Disponible sur Android, iOS et Windows Phone
En attendant, ceux qui souhaitent télécharger l’application pourront la récupérer sur Android, iOS et Windows Phone, une telle diffusion étant assez rare pour être soulignée. Dommage cependant qu’elle ne soit pour l’instant disponible qu’en anglais :
- Télécharger LastPass Authenticator pour Android (4.0.3 minimum)
- Télécharger LastPass Authenticator pour iOS (9.0 minimum)
- Télécharger LastPass Authenticator pour Windows Phone (8.1 minimum)
Commentaires (23)
#1
“Malheureusement, LastPass ne proposait jusqu’à maintenant pas d’authentification à deux facteurs.”
C’est faux, lastpass propose depuis des années plusieurs solutions de double authentification. Y compris des solutions bien plus sécurisées (ex: Yubikey) que les applications mobiles TOTP, qui ne sont pas des doubles authentifications puisque souvent l’appli lastpass est installée sur le dit mobile.
#2
Elle est fausse c’est news, cela fait de nombreux mois que j’utilise Google authenticator pour l’authentification en 2 étapes de LastPass…
#3
“Malheureusement, LastPass ne proposait jusqu’à maintenant pas d’authentification à deux facteurs.”
Heu j’ai du mal à suivre, ça fait un très long moment qu’ils support la 2FA non ? Que ce soit via Google Authenticator, les clefs Yubikey, ou d’autres services…
Pour moi leur nouvelle appli c’est juste pour rendre le tout plus facile d’accès et moins compliqué pour l’utilisateur lambda, c’est tout.
Edit: visiblement je suis pas le seul surpris par l’info donnée dans la news ^^
#4
Effectivement, y’a un bug dans la matrix là… LastPass propose la double authentification depuis des années, et ça fonctionne très bien avec une Yubikey, Google Authentificator, et même papier!
" />
Oui, oui, ça marche même avec un bête papier, sur lequel on a imprimé une grille. C’est même ludique à utiliser car on a l’impression de jouer à la bataille navale
Là, d’après la news, c’est pour ne plus taper son mot de passe principal pour ouvrir la crypte, et comme ça change à chaque fois, là, on monte encore d’un cran… Quoique, dans ce cas là, on n’utilise plus le facteur ce que je sais, vu qu’on utilise directement celui que l’on a…
#5
Je confirme ce que beaucoup disent ici : j’utilise depuis quelques mois la double authentification avec Google Authenticator sur LastPass.
Après, si je comprends bien, ici le mot de passe est remplacé par un code temporaire.
Personnellement, je dois rentrer mon mot de passe et le code de Google Authenticator .
Ce qui aurait été encore plus simple à mon sens (mais peut-être pas aussi sécurisé, je ne sais pas), c’est la méthode que Microsoft a mis en place. Sur le compte Microsoft, on peut toujours utiliser la double authentification avec Google Authenticator (donc mot de passe + code) mais aussi passer par leur application Compte Microsoft. Avec celle-ci, on rentre toujours son mot de passe mais à la place du code, il suffit de cliquer sur Autoriser sur la notification qu’apparait alors sur son mobile. Assez sympa (pas besoin d’attendre la génération d’un nouveau code si délai trop court, etc).
Edit : j’y pense aussi et là, je trouve que c’est le fin du fin : l’application Android LastPass permet l’authentification par empreinte digitale.
#6
@Jaskier @totor65 J’avoue que j’ai du mal à comprendre aussi, car la news parle bien de remplacer le mot de passe par ce fameux code, mais d’un autre côté dans la news, l’annonce officielle, et le mail envoyé aux utilisateurs ils utilisent bien le terme d’authentification à deux facteurs, tout en expliquant que c’est + sûr, tout ça..
Si effectivement ça remplace le mot de passe, c’est complètement c*n, on perd tout l’intérêt de la 2FA car un mec qui te pique ton téléphone peut avoir accès à ton compte..
Edit: bon ça remplace pas le mot de passe du tout, c’est bien de la 2FA comme le google auth de base. (ils disent bien de se loger pour ensuite utiliser leur appli pour la 2FA)
Donc vous pouvez aussi supprimer de la news la phrase: “L’avantage pour l’utilisateur est qu’il ne devra donc plus donner le mot maître, souvent long, rébarbatif, avec le risque que quelqu’un observe la frappe au clavier.”
#7
Ouille la news. C’est une erreur de copier coller paraphrasé. Un journaliste fait une erreur (je ne sais pas lequel) du coup la quasi totalité des journalistes recopient bêtement et passent ensuite leur temps à signaler que “oui” il ne s’agit que d’une nouvelle application mais cette fois “maison”.
Bref du rechauffé. Ce qui est vraiment attendu, c’est que la fonction “yubikey” passe en free user ce qui serait franchement utile pour le poste principal habituel..
Perso j’utilise dashlane. Et ce qui est dommage c’est qu’aucun journaliste qui traite de ces sujets n’utilise ses solutions …
#8
Effectivement, j’utilise le double facteur avec l’application Microsoft Authenticator (paramétré comme un Google Authenticator sur Lastpass) depuis plusieurs mois.
Par contre, je comprends qu’il soit plus sécurisé de ne pas taper/réléver son mot de passe maître sur le même canal que le login, mais … si je perd/me fait voler mon téléphone, ce dernier fournit à la fois le login et le code temporaire pour accéder à mon compte LastPass.
Alors qu’avec la double authentification actuelle, il faut le login (public), le mot de passe (ce que je connais), et le code généré par mon mobile (ce que je possède). Même en cas de perte/vol, il manquera toujours le mot de passe maître pour se connecter.
#9
#10
+1 pour le 2FA avec Google Authenticator
#11
Sorry pour la mention de la double authentification. Vraie grosse confusion stupide, puisque je l’utilise moi-même. La faute a été corrigée très rapidement, mais il a fallu le temps que le cache répercute le changement.
#12
Je ne pense pas que ça fonctionne comme tu le décris. Je n’ai pas souvenir avoir eu à apprendre mes empreintes à LastPass. Par conséquent, LastPass ne fait que se baser sur l’application Nexus Imprint (la sécurité par empreinte digitale d’Android 6.0). Et je peux me tromper mais ces définitions d’empreintes sont uniquement en local sur le téléphone.
Après, certes, il reste toujours la problématique de “et si je me fais voler mon téléphone”. Reste donc la suppression des données du téléphone à distance, mais ce n’est pas dit que ça suffise. Je pense que la sécurité parfaite n’existe malheureusement pas.
#13
Pour info, comme sur iPhone, sous Android, les applications (donc LastPass compris) n’ont pas accès directement aux empreintes. Lorsqu’une application demande une authentification par empreinte, “en très gros”, elle demande au système d’authentifier l’utilisateur, l’utilisateur met son doigt sur le capteur, le système compare l’empreinte avec celles déjà enregistrées dans le téléphone (configurées au premier démarrage ou dans les paramètres système), et répond à l’application en lui indiquant si oui ou non l’utilisateur est légitime ou non.
Jamais l’appli n’a accès aux empreintes, et l’élément de confiance dans ce système, c’est le téléphone en lui même, et non l’empreinte de l’utilisateur. En gros on considère le téléphone de l’utilisateur comme étant de confiance, et on “confirme” cette confiance, grâce à la faculté qu’a un utilisateur de le déverrouiller.
Impossible pour quelqu’un qui a votre empreinte de se connecter à LastPass avec un autre téléphone
#14
L’avantage pour l’utilisateur est qu’il ne devra donc plus donner le mot
maître, souvent long, rébarbatif, avec le risque que quelqu’un observe
la frappe au clavier. Le code donné par l’application, contenant six
chiffres, n’est valable que 30 secondes.
Je ne comprends pas : Il n’y a plus de mot de passe du tout, donc ce n’est pas de la double authentification ? Donc si on me vole mon téléphone on peut se connecter à ma place sans avoir dû en plus me voler mon mot de passe ?
#15
#16
Je confirme ce qui est dit plus haut concernant le double facteur, par contre LastPass est incapable de redonner accès au compte une fois la crypte cryptée. C’est ce qui m’arrive en ce moment et si je peux toujours me servir de l’extension, je ne peux plus en extraire les informations ou m’authentifier sur mon compte en ligne….
Il faut que LastPass peaufine ses processus d’exploitation pour que la solution soit vraiment fiable…
#17
#18
#19
Encore heureux qu’il ne le puisse pas. Ce que tu demande cela s’appelle une backdoor.
#20
#21
Mais c’est vraiment fiable cet outil (lastpass) ?
Puis je lui faire confiance ?
#22
Pour ma part, j’ai assez bien confiance dans LastPass.
J’ai toujours aimé la réactivé de LastPass. Que ce soit dans le SAV ou dans le cadre de faille.
Je les trouvent assez transparents.
En ce qui concerne la double authentification, j’ai déjà google authenticator depuis bien longtemps. Je l’utilise pour tous mes services (google, facebook, dropbox, lastpass, …)
#23
Je n’ai pas très bien compris.
J’utilise déjà la double authentification avec Google Authenticator (via Microsoft Authenticator).
Quel est l’intérêt d’utiliser cette nouvelle application plutôt que les autres ?