Alcuni utenti di LastPass stanno riscontrando difficoltà ad accedere ai propri account a causa degli aggiornamenti di sicurezza apportati dall'azienda.
I problemi sono iniziati nel maggio 2023, quando il noto password manager ha annunciato alcuni aggiornamenti imminenti e avvertendo gli utenti che avrebbero dovuto accedere nuovamente ai loro account e reimpostare l'autenticazione a più fattori (MFA).
Tuttavia, molti utenti non riescono ad accedere anche dopo aver resettato i codici sulle loro app di autenticazione, come Google Authenticator o LastPass.
Chiusi fuori!
Come se non bastasse, stando a quanto riferito, gli utenti colpiti non possono nemmeno accedere al supporto LastPass, poiché anche questo richiede il login. Al contrario, viene chiesto di reimpostare l'app di autenticazione più volte nel client, poiché il sistema non riconosce i nuovi codici impostati dagli utenti come da istruzioni.
Gli utenti hanno subito segnalato il problema su Twitter e sul forum dedicato per chiedendo spiegazioni.
LastPass ha dichiarato che sono stati inviati messaggi in-app ed e-mail per avvisare i clienti di reimpostare l'MFA con largo anticipo rispetto all'annuncio effettivo degli aggiornamenti di sicurezza.
L'azienda ha poi spiegato cosa comportano effettivamente gli aggiornamenti di sicurezza. È stata rafforzata la Password-Based Key Derivation Function (PBKDF2), un algoritmo "che rende difficile per un computer verificare che una qualsiasi password sia la master password corretta durante un attacco di compromissione".
Il numero minimo predefinito di iterazioni di password dopo l'aggiornamento è passato a 600.000. Secondo LastPass, per effettuare questo aggiornamento è stato necessario disconnettere gli utenti dai loro account e chiedere loro di reimpostare l'MFA.
Se volete ottenere l'accesso al vostro account bloccato: "Dovete accedere al sito web di LastPass nel browser e iscrivervi nuovamente all'applicazione MFA prima di poter accedere a LastPass sul vostro dispositivo mobile."
Notate bene che "Non è possibile iscriversi nuovamente utilizzando l'estensione del browser LastPass o l'app LastPass Password Manager,"
LastPass era presente nella nostra guida ai migliori password manager, ma da quando i caveau degli utenti sono stati rubati attraverso una serie di violazioni dell'azienda, abbiamo deciso di rimuoverlo.
I caveau erano criptati e non vi è alcuna indicazione che i malintenzionati non siano effettivamente riusciti a decifrarli: del resto, solo se fossero riusciti a scoprire la password principale dell'utente avrebbero potuto accedervi. Gli altri dati personali rubati ai clienti, come le informazioni di contatto e di fatturazione, non erano criptati.
