Les gestionnaires de mots de passe prétendent ne pas pouvoir accéder à vos coffres, mais ce n’est pas toujours le cas...notamment lorsque des mécanismes de récupération de compte sont activés ou que les gestionnaires de mots de passe sont configurés pour partager des coffres ou organiser les utilisateurs en groupes.
En effet, des chercheurs en sécurité ont analysé en détail Bitwarden, Dashlane et LastPass et ont identifié des moyens permettant à une personne ayant le contrôle du serveur (administrateur ou attaquant) de voler des données, voire dans certains cas, d’accéder à l’intégralité du coffre.
Ils ont également mis au point d’autres attaques capables d’affaiblir le chiffrement au point de permettre la conversion du texte chiffré en texte clair.
La solution à privilégier ? Un gestionnaire de mots de passe en local uniquement et sans option de recovery.
Via Bruce Schneier (image source lastpass.com)