En matière de sécurité，变化是永恒的。Alors que les technologies évoluent, nous nous efforçons de garder une longueur d 'avance et de sécuriser vos information。Deux récentes révélations peuvent potentiellement inquiéter notre communauté， et nous sommes donc là pour répondre à vos questions et vous informer sur ce que vous deavoir en tant qu 'utilisateurs de LastPass。

Cloudflare

Synthèse: LastPass n 'utilise pas Cloudflare et n 'est pas affecté parL 'incident de sécurité récent．

Ce qu 'il s 'est passé: Cloudflare est une société de logiciel-service qui aide à optimiser la sécurité et les performance des sites web。Le jeudi 23 février, la société a informé ses clients qu 'elle avait récemment corrigé une vulnérabilité (révélée par Le chercheur Tavis Ormandy de谷歌)。Bien que cette vulnérabilité ait pu exposed tout un éventail d ' information sensibles, nous pouvons confirmer que LastPass n 'utilise pas Cloudflare et n 'est pas affecté。

权数，权数，权数，权数，权数，权数, utilisentCloudflare。Par conséquent, si vous utilisez des services here révélé avoir été touchés, nous conillons de mettre à jour votre mot pass。危险的事物associé à失败的事物，谨慎的事物être。

攻击par碰撞SHA-1

Synthèse: Les utilisateurs de LastPass peuvent se senr rassurés sachant que notre hachage et notre site sont sûrs。Pour la création des hachages de mots de passe, LastPass utiluse un hachage itératif avec un composant SHA-256 ou supérieur。Les证书HTTPS实用SHA-256 ou supérieur pour l 'empreinte。Comme le remarque l ' équipe de sécurité de谷歌，SHA-256 est une function de hachage cryptographique + sûre。

Ce qu ' il s ' est passé: L ' équipe de sécurité de谷歌A récemment révéléla première攻击concrète contre SHA-1。SHA-1(安全哈希算法1)1995年首次出现。Le hachage est tout simplement une function unidirectionnelle (qui ne peut pas être inversée par rétro-ingénierie) qui sert à mask et stocker des données。Il va加上loin que le简单的chiffurede données。SHA-1 est utilisé à grande échelle pour sécuriser les logiciels, afin d ' éviter la证伪de mises à jour logicielles, et d ' assurela sécurité des connexions entre les sites web et leurs utilisateurs。Toutefois, la vulnérabilité théorique de SHA-1 est connue depuis au moins 2005, et a fait quelques années que谷歌appelle les développeurs à basculer vers d ' aures算法。

Le nouveau rapport sorti Le jeudi 23 février décrit la manière don des chercheurs en sécurité ont mené la première攻击concrète par collision contre la函数de hachage SHA-1。En effet, deux fichiers totalement différents (ici, des fichiers PDF) ont été utilisés pour produire la même signature SHA-1。Ce n 'est pas censé être可能，puisque charque fichier est censé produire sa propre签名SHA-1, empêchant qu 'un fichier«contrrefait»puisse se faire passer pour un fichier de confifhe。

Comme nous l ' inquions plus haut, LastPass génère des hachages d ' authentication avec PBKDF2使用SHA-256代替SHA-1。Les connexions à notre site web LastPass.com sont également sûres, puisque notre certificate at HTTPS使用également SHA-256代替SHA-1。

Par souci d 'exhaustivité， SHA-1产品的使用原理，二进制符号。Le risque à ce niveau est très faible, mais nous allons accélérer nos effort de suppression de SHA-1 à la lumière de ce rapport de collision。

我们在一起，我们在一起communauté我们在一起développements。

谢谢,

队报》LastPass