J'utilise LastPass comme gestionnaire principal de mots de passe depuis de nombreuses années. Si je devais deviner, je dirais que cela doit durer près de 10 ans maintenant. Et au cours de ces années, cela m'a laissé tomber, m'a déçu et m'a frustré à plusieurs reprises. Il y a quelques semaines, j'ai finalement fait le passage à 1Password. J'aurais dû le faire âge depuis.
Pour être clair, il n'y a rien qui cloche avec LastPass – ou du moins c'est ce que je me suis dit pendant plusieurs années. Bien sûr, l'application Android ne remplit pas toujours automatiquement les options et l'extension Chrome reste littéralement connectée tout le temps. L'application a souffert plusieurs violations de données au fil des ans, aussi. Mais tout cela est normal pour le cours, non?
Pas même proche.
Honnêtement, je n'avais pas réalisé à quel point LastPass était un gestionnaire de mots de passe médiocre avant d'utiliser 1Password. Les problèmes de remplissage automatique d'Android sont une chose – un inconvénient mineur au mieux – mais la mauvaise mise en œuvre de la sécurité pour une application censée stocker certaines de vos informations les plus privées est carrément inexcusable.
Les protocoles de sécurité de LastPass sont pathétiques
Si vous avez un compte LastPass, vous savez déjà comment cela fonctionne: vous installez l'application ou allez sur le site Web et connectez-vous. Peut-être avez-vous également activé l'authentification à deux facteurs sur votre compte – c'est bon pour vous. Mais c'est optionnel, et si vous ne savez pas déjà que LastPass propose 2FA, il est pratiquement garanti que vous ne l'avez pas activé. (Comment pouvez-vous activer quelque chose dont vous n’étiez pas conscient, après tout?)
Et si vous installez l'extension Chrome, vous ne devez vous connecter qu'une seule fois. Après cela, tant que l'ordinateur reste en ligne, vous ne serez plus jamais invité à vous connecter. À ce stade, toute personne ayant accès à votre ordinateur a également accès à vos mots de passe. C’est une catastrophe qui ne demande qu’à se produire. Vous pouvez modifier ce comportement dans les paramètres de l'extension LastPass, mais il est tout simplement déconcertant que le verrouillage automatique ne soit pas activé par défaut. Vous ne devriez pas avoir à opter pour une meilleure sécurité, en particulier dans un gestionnaire de mots de passe.
Mais 1Password fait les choses différemment. Tout d'abord, cela ne force pas seulement 2FA à sortir de la boîte, mais il définit une «clé secrète» lorsque vous créez votre compte. Il s'agit d'une clé très complexe qui est requise chaque fois que vous vous connectez sur un nouvel appareil (remarque: uniquement lors de la première connexion – une fois l'appareil confirmé, vous pouvez vous connecter avec uniquement votre nom d'utilisateur et votre mot de passe). La clé est automatiquement générée et partagée avec vous dans un document lorsque vous vous inscrivez à 1Password. Cette clé est également stockée sur vos appareils de confiance. Elle est donc facile à garder en sécurité mais difficile à perdre.
C’est un niveau supérieur de sécurité pour tous vos mots de passe. Vous savez ce que 1Password fait d'autre que LastPass ne fait pas? Verrouiller automatiquement le coffre-fort dans l'extension Chrome par défaut. 1Password et LastPass verrouillent le coffre-fort après une période d'inactivité sur mobile, mais la même chose ne s'applique pas aux extensions de navigateur. C’est déroutant. (Si vous utilisez LastPass et que vous ne souhaitez pas changer, veuillez activer cette fonctionnalité Options de compte> Préférences d'extensions> Déconnexion après ces nombreuses minutes d'inactivité.)
Maintenant, LastPass pourrait résolvez ces deux problèmes assez facilement en forçant 2FA et en verrouillant automatiquement le coffre-fort par défaut. Mais cela fait des années maintenant et aucune de ces choses n’a été faite. Difficile de dire si ou quand ils le feront. Alors, il est temps de changer.
1Password n'a jamais vu de violation de données
Depuis 2011, LastPass est impliqué dans cinq violations de données ou autres incidents de sécurité—2011, 2015, 2016, 2017 et 2019. Pour être honnête, certains d'entre eux n'étaient pas majeurs; juste des exploits qui ont été découverts. Et dans tous ces cas, LastPass a fait un travail remarquable en désactivant ou en corrigeant ces vulnérabilités. Il est juste de donner du crédit là où il est dû.
Mais si vous Google "1 violation de données de mot de passe"La première option n'est pas une fuite de haut niveau dont 1Password faisait partie. C'est un lien vers le blog 1Password sur ce se produirait si l'entreprise faisait jamais partie d'une violation, qui commence par les mots "1Password n'a jamais été piraté." Si vous envisagez un changement, cela vaut la peine d'être lu. Même si vous n'envisagez pas de changer pour le moment, cela vaut la peine d'être lu. Cela pourrait changer d'avis.
L'application Android est beaucoup plus fiable
L'un de mes plus gros problèmes avec LastPass est le manque de fiabilité de l'option de remplissage automatique de l'application Android, même après que Google ait implémenté l'API de remplissage automatique, qui, j'espérais, résoudrait ces problèmes. Mais non.
Je ne sais pas quel est le facteur déterminant ici, mais parfois la fonction de remplissage automatique fonctionne correctement sur LastPass. D'autres fois, cela ne demande jamais du tout. Et d'autres, il invite mais dit qu'il n'y a pas de mots de passe enregistrés pour cette application / site. Et il n’existe pas de moyen de rechercher directement à partir de l’invite de saisie automatique.
Encore une fois, 1Password résout tous ces problèmes. Pour commencer, il n'y a pas eu une seule fois n'a pas a offert une invite sur une boîte de mot de passe. Et dans le cas où il n'associe pas un mot de passe d'un site à son application correspondante, vous pouvez effectuer une recherche directement à partir de l'invite et attribuer le mot de passe au site à cet endroit, cela ne prend que quelques clics. Après cela, l'association est stockée, donc la connexion la prochaine fois sera encore plus facile. LastPass n’a rien de tel.
Maintenant, pour être honnête, si vous êtes un utilisateur iOS, vous n'avez probablement rencontré aucun de ces problèmes. Les options de saisie automatique des mots de passe iOS semblent fonctionner beaucoup plus fiable qu'Android, car je n'ai rencontré aucun problème avec LastPass sur iOS. Cela dit, 1Password fonctionne aussi bien, donc vous ne perdez rien si vous faites le saut.
Le changement était plus indolore que je ne l'aurais jamais imaginé
J'ai une confession embarrassante: la principale raison pour laquelle je n'ai pas changé plus tôt est que je ne voulais pas passer le temps à le faire. Dans ma tête, ça allait prendre heures. C'est en fait tellement incorrect que je me sens stupide de le dire. Le changement a littéralement pris environ cinq minutes. Pas de blague – cinq.
En fait, 1Password a un excellent guide en faisant juste ça sur son site d'assistance. En fin de compte, cela se résume à deux étapes: exporter votre coffre-fort LastPass, puis l'importer dans 1Password. D'après mon expérience, tout s'est parfaitement synchronisé.
Tout compte fait, j'ai eu 1Password opérationnel sur trois téléphones et quatre ordinateurs en environ 20 minutes, ce qui comprend la suppression de LastPass de ces appareils. Je me sens ridicule d'avoir attendu si longtemps.
Il y a cependant un petit problème. Pour une raison quelconque, il existe deux versions de l'extension de navigateur 1Password: l'une nécessite l'installation de l'application de bureau et l'autre non. Je recommande d'utiliser le 1PasswordX extension, qui fonctionne de manière autonome. Sinon, vous devrez également installer l'application de bureau, qui est honnêtement un peu redondante. En prime, l'extension 1Password a un impact beaucoup plus faible sur les ressources système que l'extension LastPass (au moins dans Chrome).
Mais il y a aussi la question de la tarification. Pour la plupart des gens, LastPass est gratuit – vous pouvez l'utiliser sur plusieurs appareils sans payer un centime. Si vous souhaitez ajouter un stockage de fichiers cryptés au mix, vous pouvez le faire pour 3 $ par mois.
Mais 1Password coûte 3 $ par mois ou 5 $ par mois pour toute votre famille. Vous connaissez le dicton "vous en avez pour votre argent?" Eh bien, je ne pense pas que ce soit plus vrai qu’ici – 1Password est plus sûr et plus pratique que LastPass, qui en vaut largement 3 $ par mois.
Si vous envisagez de passer de LastPass à 1Password, je le recommande vivement. J'aurais aimé le faire il y a des années.
Divulgation: 1Password propose des comptes gratuits pour les journalistes, auxquels je suis passé avant d'écrire. Cela n'a en aucun cas influencé les conclusions ou les résultats de l'article.