Пользователи LastPass негодуют после блокировки из-за сброса MFA

С начала мая у пользователей менеджера паролей LastPass возникли серьезные проблемы со входом в систему после того, как им было предложено сбросить свои приложения для аутентификации.

Пользователи LastPass негодуют после блокировки из-за сброса MFA. Фото: СС0

В компании впервые объявили, что пользователям, возможно, потребуется снова войти в свою учетную запись LastPass и сбросить настройки многофакторной аутентификации из-за запланированных обновлений безопасности 9 мая.

Однако с тех пор многие клиенты сервиса были заблокированы в своих учетных записях и не могли получить доступ к своему хранилищу LastPass даже после успешного сброса своих приложений MFA (например, LastPass Authenticator, Microsoft Authenticator, Google Authenticator).

Проблема усугубляется тем, что затронутые клиенты не могут обратиться за помощью в службу поддержки, поскольку для этого требуется войти в свои учетные записи. Пользователи не могут сделать этого, поскольку они заблокированы в бесконечном цикле сброса аутентификатора MFA. Ситуация вызвала массовое негодование пользователей.

Это побудило LastPass выпустить несколько заявлений, объясняющих ситуацию.

Из сообщения компании:

«Чтобы повысить безопасность вашего мастер-пароля, LastPass использует более надежную версию функции получения ключа на основе пароля (PBKDF2). В своей основе PBKDF2 представляет алгоритм усиления пароля, который затрудняет для компьютера проверку того, что любой первый пароль является правильным мастер-паролем во время компрометирующей атаки. Принудительный выход из системы плюс повторная синхронизация MFA происходят по мере того, как мы увеличиваем количество итераций пароля клиента. Это связано с шифрованием вашего хранилища LastPass».

В другом информационном бюллетене компания сообщает, что пользователям предлагается повторно зарегистрироваться в многофакторной аутентификации для обеспечения их безопасности при входе в LastPass.

Из сообщения компании:

«Вы должны войти на веб-сайт LastPass в своем браузере и повторно зарегистрировать свое приложение MFA, прежде чем снова сможете получить доступ к LastPass на своем мобильном устройстве. Вы не можете повторно зарегистрироваться с помощью расширения браузера LastPass или приложения LastPass Password Manager».

Подробная процедура, необходимая для сброса сопряжения между LastPass и приложением для проверки подлинности (LastPass Authenticator, Microsoft Authenticator или Google Authenticator), подробно описана в документе поддержки.

Startpack подготовил список облачных сервисов для хранения паролей. Платные и бесплатные платформы для работы с паролями, необходимыми для доступа к прикладным программам или веб-сервисам. Обязательное шифрование данных защищает критически важную информацию от хищения или повреждения злоумышленниками. Автоматическая сортировка и заполнение полей с паролём облегчает доступ к сервисам. Возможность создания резервных копий базы паролей для сохранения на случай сбоя или ошибки.

Статьи по теме