去年五月初,密碼管理器最後通行證執行了安全性更新。此次更新定於 5 月 9 日發布,透過應用程式中收到的通知要求用戶重設其多重身份驗證設定。換句話說,他們必須重置身份驗證應用程式(谷歌身份驗證器,微軟身份驗證器、LastPass Authenticator 等),他們通常用來登入 LastPass。
唯一的問題是,自從部署此安全性更新以來,許多用戶已與他們的存取鑰匙串斷開連接並發現自己被封鎖。即使在嘗試重設其身份驗證器應用程式後,也無法存取其密碼。這個問題已經持續了幾個星期,開始引起人們的關注,特別是考慮到 LastPass 缺乏解決方案。
咬住尾巴的蛇
面對這類問題,第一直覺顯然是聯絡密碼管理器的支援。不幸的是,對於用戶來說,只有在登入其 LastPass 帳戶後才能存取 LastPass 支援。無限循環使用戶陷入困境,因為他們必須重置身份驗證應用程式才能存取其帳戶,但操作不起作用。
MFA 的強制重新同步現在阻止我登錄,因為 LastPass 無法識別新的 MFA 代碼。我嘗試過 DM'ing,但訊息無法發送。到底是怎麼回事?顯然這影響了很多用戶。
— 朱莉克拉克 (@clarbner)2023 年 6 月 21 日
為了證明此更新的合理性,LastPass 解釋說此變更旨在加強使用者帳戶的安全性。密碼管理器使用新的密碼強化演算法。對於在攻擊期間嘗試驗證密碼是否是鑰匙圈的主密碼的電腦來說,這應該會使任務變得更加複雜。
重新獲得帳戶存取權限的解決方案
為了回應受此損壞影響的用戶,LastPass 在網路上發布了一個解釋頁面,描述了應遵循的程序重新造訪您的 LastPass 帳戶。若要重新取得其 LastPass 帳戶的存取權限,他們必須透過從 LastPass 桌面網站登入來重新設定其多重驗證應用程式。如果沒有這個,他們將無法從行動應用程式或瀏覽器擴充功能中重複使用密碼管理器。
«為了您的安全,您可能需要在登入 LastPass 時重設驗證器應用程式(LastPass Authenticator、Microsoft Authenticator、Google Authenticator 或 Grid)。» 表示介紹中的密碼管理器,在指定「之前您必須登入網站 LastPass在瀏覽器中重新連接 MFA(多重身份驗證)應用程序,然後才能在行動裝置上存取 LastPass。您無法使用 LastPass 瀏覽器擴充功能或 LastPass 密碼管理器應用程式再次登入。»
儘管LastPass對這項變更的溝通似乎還不夠明確,但指責其發行商似乎相當複雜。因為密碼管理器安全性的加強是在幾個月後進行的。LastPass 是兩次重大攻擊的受害者駭客於 2022 年底實施。
Opera One - AI 驅動的網頁瀏覽器
作者:歌劇
來源 : 電腦發出蜂鳴聲
