Mot de passe itérations (PBKDF2)

 

    Pour augmenter la sécurité de votre mot de passe maître, LastPass utilise une version plus forte que typique de mot de passe sur Dérivation Touche Fonction (PBKDF2). À la base, Est un PBKDF2 “algorithme renforcement de passe-” ce qui fait qu'il est difficile pour un ordinateur pour vérifier que l'un quelconque mot de passe est le mot de passe maître correcte lors d'une attaque par force brute.

    L'implémentation standard de PBKDF2 utilise SHA-1, un algorithme de hachage sécurisé. SHA-1 est rapide, mais sa vitesse est une faiblesse que les attaques par force brute peut être effectuée plus rapidement.

    LastPass a choisi d'utiliser SHA-256, un algorithme de hachage lent qui fournit plus de protection contre les attaques par force brute. LastPass utilise la fonction de PBKDF2 mis en œuvre avec SHA-256 pour transformer votre mot de passe maître dans votre clé de chiffrement. LastPass effectue x nombre de tours de la fonction pour créer la clé de cryptage, devant un seul tour supplémentaire de PBKDF2 est fait pour créer votre connexion hachage.

    L'ensemble du processus est effectuée côté client. La connexion hachage est ce qui est en communication avec LastPass. LastPass utilise le hachage pour vérifier que vous entrez le mot de passe maître correcte lors de la connexion à votre compte.

    LastPass effectue également un grand nombre de tours de PBKDF2 côté serveur. Cette mise en œuvre de PBKDF2 côté client et côté serveur assure que les deux morceaux de vos données- la partie qui est stocké déconnecté localement et la partie qui est stocké sur des serveurs en ligne LastPass- sont bien protégées:

    To see this, click on Account Settings > Paramètres Avancés > Scroll down to find ‘Password Iterations’.

 

PBKDF2 1.5

    Par défaut, le nombre x de cartouches qui utilise LastPass est 5000. LastPass vous permet de personnaliser le nombre de tours effectués pendant le processus de cryptage côté client. Si vous vous connectez à LastPass, ouvrir votre coffre-fort de la LastPass LastPass Icône, et le lancement Paramètres du compte, vous verrez le “Mot de passe itérations” champ montrant le nombre actuel de tours utilisé pour votre compte. Bien que 5000 est actuellement le nombre de tours par défaut, votre numéro peut être inférieure si votre compte est plus.

PBKDF2 2

    5000 tours offre un bon équilibre entre une sécurité accrue et l'inconvénient de plus longues pauses lors de la connexion à votre compte. Bien qu'il soit tentant pour pointer vers le nombre de tours lorsque l'on compare les implémentations de PBKDF2 l'ensemble des services, il se agit essentiellement des pommes à la comparaison des oranges, que d'autres services peuvent utiliser SHA-1, ce qui est moins de calcul intense que SHA-256. En d'autres termes, SHA-256 est un processus plus intensif que SHA-1, si un nombre inférieur de tours peut encore être un niveau plus élevé de sécurité contre les attaques par force brute.

    En termes de facilité d'utilisation, le nombre de tours utilisés ne affecte le processus de connexion à votre compte LastPass. Une fois que vous accédez à votre compte, la mise en œuvre de ces changements ne affectera pas votre expérience de navigation.

    Note: LastPass soutient un ensemble diversifié de plates-formes qui varient grandement de la vitesse. Pour pouvoir utiliser toutes, nous vous recommandons de ne pas dépasser 10,000 tours. Un changement de 5000 tours à 10,000 tours peuvent ne pas être perceptible à vous sur la plupart des plateformes. Cependant, alors que nous permettons aux utilisateurs d'accroître leurs tours tout le chemin à 200,000 tours, vous pouvez commencer à remarquer des problèmes lors de la connexion via certains navigateurs ou plates-formes lorsque vous allez au-dessus 5,000 tours. Par exemple, Internet Explorer 7 sera très lente avec un nombre plus élevé de tours. Connexion à m.lastpass.com sur un téléphone intelligent (où les tours se font en JavaScript seulement) peut ne pas fonctionner du tout.