去年五月初,密码管理器最后通行证执行了安全更新。此次更新定于 5 月 9 日发布,通过应用程序中收到的通知要求用户重置其多重身份验证设置。换句话说,他们必须重置身份验证应用程序(谷歌身份验证器,微软身份验证器、LastPass Authenticator 等),他们通常用来登录 LastPass。
唯一的问题是,自从部署此安全更新以来,许多用户已与他们的访问钥匙串断开连接并发现自己被阻止。即使在尝试重置其身份验证器应用程序后,也无法访问其密码。这个问题已经持续了几个星期,开始引起人们的关注,特别是考虑到 LastPass 缺乏解决方案。
咬住尾巴的蛇
面对此类问题,第一直觉显然是联系密码管理器的支持。不幸的是,对于用户来说,只有登录其 LastPass 帐户后才能访问 LastPass 支持。无限循环使用户陷入困境,因为他们必须重置身份验证应用程序才能访问其帐户,但操作不起作用。
MFA 的强制重新同步现在阻止我登录,因为 LastPass 无法识别新的 MFA 代码。我尝试过 DM'ing,但消息无法发送。到底是怎么回事?显然这影响了很多用户。
— 朱莉·克拉克 (@clarbner)2023 年 6 月 21 日
为了证明此更新的合理性,LastPass 解释说此更改旨在加强用户帐户的安全性。密码管理器使用新的密码强化算法。对于在攻击期间尝试验证密码是否是钥匙串的主密码的计算机来说,这应该会使任务变得更加复杂。
重新获得帐户访问权限的解决方案
为了回应受此损坏影响的用户,LastPass 在网上发布了一个解释页面,描述了应遵循的程序重新访问您的 LastPass 帐户。要重新获得对其 LastPass 帐户的访问权限,他们必须通过从 LastPass 桌面网站登录来重新配置其多重身份验证应用程序。如果没有这个,他们将无法从移动应用程序或浏览器扩展中重复使用密码管理器。
«为了您的安全,您可能需要在登录 LastPass 时重置身份验证器应用程序(LastPass Authenticator、Microsoft Authenticator、Google Authenticator 或 Grid)。» 表示介绍中的密码管理器,在指定“之前您必须登录网站 LastPass在浏览器中重新连接 MFA(多重身份验证)应用程序,然后才能在移动设备上访问 LastPass。您无法使用 LastPass 浏览器扩展程序或 LastPass 密码管理器应用程序再次登录。»
尽管LastPass对这一变化的沟通似乎还不够明确,但指责其发行商似乎相当复杂。因为密码管理器安全性的加强是在几个月后进行的。LastPass 是两次重大攻击的受害者黑客于 2022 年底实施。
Opera One - AI 驱动的网络浏览器
作者:歌剧
来源 : 电脑发出蜂鸣声
