Οι χρήστες του password manager LastPass αντιμετωπίζουν σημαντικά προβλήματα σύνδεσης από τις αρχές Μαΐου, αφού τους ζητήθηκε να επαναφέρουν τις εφαρμογές ελέγχου ταυτότητας (authenticator).
Η εταιρεία ανακοίνωσε για πρώτη φορά ότι οι χρήστες ενδέχεται να χρειαστεί να συνδεθούν ξανά στους λογαριασμούς τους LastPass και να επαναφέρουν τις προτιμήσεις τους για τον έλεγχο ταυτότητας πολλαπλών παραγόντων λόγω των προγραμματισμένων αναβαθμίσεων ασφαλείας στις 9 Μαΐου.
Ωστόσο, από τότε, πολλοί χρήστες έχουν αποκλειστεί από τους λογαριασμούς τους και δεν μπορούν να έχουν πρόσβαση στο LastPass vault, ακόμη και μετά την επιτυχή επαναφορά των εφαρμογών MFA τους (π.χ. LastPass Authenticator, Microsoft Authenticator, Google Authenticator).
Επιδεινώνοντας το πρόβλημα, οι πελάτες που επηρεάζονται δεν μπορούν να ζητήσουν βοήθεια από την υποστήριξη, καθώς η επικοινωνία με την υποστήριξη της LastPass απαιτεί τη σύνδεση στους λογαριασμούς τους, την οποία δεν μπορούν να κάνουν επειδή είναι κλειδωμένοι σε μια ατέρμονη λούπα που τους ζητείται να επαναφέρουν τον επαληθευτή MFA.
“Ο αναγκαστικός επανασυγχρονισμός του MFA με εμποδίζει τώρα να συνδεθώ επειδή το LastPass δεν αναγνωρίζει τον νέο κωδικό MFA”, είπε ένας χρήστης.
“Μετά την επαναφορά του MFA μου, έχασα εντελώς την πρόσβαση στο Vault μου. Το MasterPW δεν λειτουργεί και η επαναφορά, καθώς και το reset eMail δεν μου παραδίδεται ποτέ. Δεν μπορώ να επικοινωνήσω με την Υποστήριξη “Premium” καθώς απαιτείται σύνδεση”, πρόσθεσε ένας άλλος.
“Μου ζητήθηκε να εισαγάγω ξανά το master password και στη συνέχεια αναγκάστηκα να ενημερώσω το MFA, κάτι που έκανα με επιτυχία και τώρα δεν μπορώ να συνδεθώ καθόλου”, είπε ένας χρήστης, ζητώντας βοήθεια στον ιστότοπο της κοινότητας LastPass.
Η LastPass λέει ότι οι επαναφορές MFA ανακοινώθηκαν μέσω μηνυμάτων εντός της εφαρμογής για “αρκετές εβδομάδες” πριν από την αρχική ανακοίνωση.
Η εταιρεία έχει κυκλοφορήσει αρκετές συμβουλές σχετικά με τις αναβαθμίσεις ασφαλείας, εξηγώντας ότι αυξάνει τις επαναλήψεις κωδικών πρόσβασης στη νέα προεπιλογή των 600.000 γύρων.
“Για να αυξήσει την ασφάλεια του κύριου κωδικού πρόσβασής σας, το LastPass χρησιμοποιεί μια ισχυρότερη από την τυπική έκδοση του Password-Based Key Derivation Function (PBKDF2)”, όπως εξηγείται σε ένα δελτίο υποστήριξης του LastPass που στάλθηκε στους χρήστες που επηρεάζονται.
Στην πιο βασική του μορφή, ο PBKDF2 είναι ένας “αλγόριθμος ενίσχυσης κωδικού πρόσβασης” που καθιστά δύσκολο για έναν υπολογιστή να επαληθεύσει ότι οποιοσδήποτε κωδικός πρόσβασης είναι το σωστό master password κατά τη διάρκεια μιας επίθεσης παραβίασης.
Σε ένα άλλο advisory, η εταιρεία αναφέρει ότι οι χρήστες καλούνται να εγγραφούν εκ νέου σε έλεγχο ταυτότητας πολλαπλών παραγόντων για την ασφάλειά τους κατά τη σύνδεση στο LastPass.
“Πρέπει να συνδεθείτε στον ιστότοπο LastPass στο πρόγραμμα περιήγησής σας και να επανεγγράψετε την εφαρμογή MFA πριν μπορέσετε να αποκτήσετε ξανά πρόσβαση στο LastPass από την κινητή σας συσκευή. Δεν μπορείτε να επανεγγραφείτε χρησιμοποιώντας την επέκταση του προγράμματος περιήγησης LastPass ή την εφαρμογή LastPass Password Manager”, εξηγεί η εταιρεία.
Η λεπτομερής διαδικασία που απαιτείται για την επαναφορά της σύζευξης μεταξύ του LastPass και της εφαρμογής ελέγχου ταυτότητας (LastPass Authenticator, Microsoft Authenticator ή Google Authenticator) περιγράφεται λεπτομερώς σε αυτό το έγγραφο υποστήριξης.
Την επόμενη φορά που θα συνδεθείτε σε έναν ιστότοπο ή μια εφαρμογή χρησιμοποιώντας το LastPass, θα σας ζητηθεί να επαληθεύσετε την τοποθεσία σας. Όταν συνδεθείτε σε έναν ιστότοπο ή μια εφαρμογή όπου χρησιμοποιήσατε το LastPass για να συνδεθείτε, θα πρέπει να εισαγάγετε ξανά τα credentials σας και να πιστοποιήσετε την ταυτότητά σας χρησιμοποιώντας την εφαρμογή ελέγχου ταυτότητας.
Οι χρήστες θα κληθούν επίσης να επαληθεύσουν την τοποθεσία τους την επόμενη φορά που θα συνδεθούν σε έναν ιστότοπο ή μια εφαρμογή που χρησιμοποιεί το LastPass ως πρόσθετο μέτρο ασφαλείας.
Στο πλαίσιο της ίδιας διαδικασίας, οι χρήστες θα πρέπει να εισαγάγουν εκ νέου τα διαπιστευτήρια σύνδεσής τους και να πιστοποιήσουν τον εαυτό τους για άλλη μια φορά χρησιμοποιώντας την εφαρμογή αυθεντικοποίησης.
Πηγή πληροφοριών: bleepingcomputer.com