Pourquoi LastPass veut vous forcer à rallonger votre mot de passe maître

L’éditeur du gestionnaire de mots de passe oblige désormais tous ses utilisateurs à configurer un mot de passe maître comportant au moins douze caractères. Avec cette mesure de sécurité, LastPass entend renforcer la sécurité de ses utilisateurs, après avoir connu deux piratages d’envergure en 2022.

LastPass va demander à ses utilisateurs d’apporter quelques modifications sur leur compte. Après avoir été piraté à deux reprises courant 2022, l’éditeur du gestionnaire de mots de passe a en effet décidé de serrer la vis.

Les utilisateurs doivent désormais se soumettre à de nouvelles exigences dans le but d’améliorer la sécurité de leur compte. LastPass veut ainsi les obliger à rallonger leur mot de passe maître et à renforcer la complexité de celui-ci, mais aussi à s’assurer que l’authentification multifacteur soit bien paramétrée.

12 caractères minimum pour le mot de passe maître

Depuis 2018, l’éditeur de LastPass suggérait par défaut à ses utilisateurs de configurer un mot de passe maître comportant 12 caractères. Cependant, rien ne forçait ceux-ci à suivre ces recommandations. Les clients avaient en effet la possibilité d’ignorer ce conseil et ainsi de configurer un mot de passe plus court. Mais les choses vont changer. À compter de ce mois de janvier 2024, tous les utilisateurs de LastPass devront impérativement modifier leur mot de passe maître afin que celui-ci comporte au moins douze caractères. Une exigence déjà en place depuis avril 2023 chez tous les nouveaux clients, ainsi que chez les utilisateurs ayant réinitialisé leur mot de passe maître. Un e-mail sera envoyé chez tous les clients (Free, Premium et Families) dans le courant du mois.

Outre la longueur minimale du mot de passe maître, l’éditeur de LastPass donne une liste de bonnes pratiques qu’il invite à suivre. Il suggère ainsi d’aller au-delà des douze caractères et d’utiliser majuscules, minuscules, chiffres et caractères spéciaux. Les utilisateurs sont également enjoints à choisir un mot de passe mémorisable, sans pour qu’il ne soit pour autant facile à deviner. Une phrase secrète remplirait par exemple tous ces critères.

LastPass donne par ailleurs une liste de tout ce qu’il ne faut pas faire : ne pas utiliser son adresse e-mail comme mot de passe maître, ni inclure d’informations personnelles. Un bon mot de passe maître ne doit pas contenir de caractères séquentiels ou répétés, et surtout, celui-ci doit être unique et n’avoir pas été utilisé sur un autre compte ou une autre application. Des conseils pleins de bon sens donc, mais qui semblent être, encore en 2024, largement ignorés par un trop grand nombre d’utilisateurs.

Enfin, l’éditeur indique qu’il se chargera de réaliser des « contrôles immédiats des mots de passe maître (nouveaux et modifiés) en les comparant à une liste connue d’identifiants compromis, afin de vérifier qu’ils n’ont pas été précédemment exposés sur le dark web ». Lorsqu’un mot de passe maître identifié comme ayant été compromis, le client concerné sera invité à modifier un nouveau mot de passe avant de pouvoir continuer à utiliser son trousseau d’accès.