Pour augmenter la sécurité de votre mot de passe principal, LastPass utilise une version plus puissante que la normale de la fonction de dérivation de clé basée sur le mot de passe (PBKDF2). Dans sa forme la plus basique, PBKDF2 est un "algorithme de renforcement de mot de passe" qui rend difficile pour un ordinateur de vérifier que n'importe quel mot de passe est le mot de passe principal correct lors d'une attaque compromettante.
LastPass utilise la fonction PBKDF2 implémentée avec SHA-256 pour transformer votre mot de passe principal en clé de cryptage. LastPass effectue un nombre personnalisable de tours de la fonction pour créer la clé de chiffrement, avant qu'un seul tour supplémentaire de PBKDF2 ne soit effectué pour créer votre hachage de connexion.
L'ensemble du processus est mené côté client. Le hachage de connexion résultant est celui qui est communiqué avec LastPass. LastPass utilise le hachage pour vérifier que vous saisissez le bon mot de passe principal lorsque vous vous connectez à votre compte.
LastPass effectue également un grand nombre de tours de PBKDF2 côté serveur. Cette implémentation de PBKDF2 côté client et côté serveur garantit que les deux parties de vos données - la partie stockée hors ligne localement et la partie stockée en ligne sur les serveurs LastPass - sont parfaitement protégées.
Le nombre minimum par défaut d'itérations de mot de passe est de 600 000 tours (pour les nouveaux comptes et ceux qui mettent à jour leur nombre d'itérations existantes).
Partager