Người dùng LastPass tức giận sau khi bị khóa do cài đặt lại MFA



Điều này thúc đẩy LastPass đưa ra một số lời khuyên về các nâng cấp bảo mật giải thích rằng điều này đang được thực hiện để tăng số lần lặp mật khẩu lên mặc định mới là 600.000 vòng

"Để tăng tính bảo mật cho mật khẩu chính của bạn, LastPass sử dụng phiên bản mạnh hơn bình thường của Chức năng Password-Based Key Derivation (PBKDF2)", một bản tin hỗ trợ LastPass được gửi tới những người dùng bị ảnh hưởng để hướng dẫn.

"Về cơ bản, PBKDF2 là một 'thuật toán tăng cường mật khẩu' làm cho máy tính khó kiểm tra xem bất kỳ 1 mật khẩu nào đó có phải là mật khẩu chính chính xác hay không trong một cuộc tấn công xâm nhập."

"Các sự kiện đăng xuất bắt buộc + đồng bộ hóa lại MFA đang diễn ra khi chúng tôi tăng tất cả các lần lặp lại mật khẩu của khách hàng. Điều này liên quan đến việc mã hóa LastPass Vault của bạn", LastPass cho biết.

Trong một lời khuyên khác, LastPass cho biết người dùng được nhắc đăng ký lại xác thực đa yếu tố để bảo mật khi đăng nhập vào LastPass.

"Bạn phải đăng nhập vào trang web LastPass trong trình duyệt của mình và đăng ký lại ứng dụng MFA trước khi có thể truy cập lại LastPass trên thiết bị di động của mình. Bạn không thể đăng ký lại bằng tiện ích mở rộng trình duyệt LastPass hoặc ứng dụng Trình quản lý mật khẩu LastPass", LastPass giải thích.

Quy trình chi tiết cần thiết để đặt lại kết nối giữa LastPass và ứng dụng xác thực (LastPass Authenticator, Microsoft Authenticator hoặc Google Authenticator) được mô tả chi tiết trong tài liệu hỗ trợ này.

Khi bạn đăng nhập vào một trang web hoặc ứng dụng bằng LastPass, bạn sẽ được nhắc xác minh vị trí của mình. Khi bạn đăng nhập vào một trang web hoặc ứng dụng mà bạn đã sử dụng LastPass để đăng nhập, bạn phải nhập lại thông tin đăng nhập của mình và xác thực bằng ứng dụng xác thực của mình.

Người dùng cũng sẽ được yêu cầu xác minh vị trí của họ vào lần tới khi họ đăng nhập vào một trang web hoặc ứng dụng bằng LastPass như một biện pháp bảo mật bổ sung.

Là một phần của quy trình tương tự, người dùng sẽ được yêu cầu nhập lại thông tin đăng nhập và xác thực lại thông tin bằng ứng dụng xác thực của họ.

"Sau sự cố năm 2022, chúng tôi đã gửi email và thông tin liên lạc trong ứng dụng tới email khách hàng của mình để khuyến nghị họ đặt lại các bí mật MFA bằng Ứng dụng Authenticator ưa thích của họ như một biện pháp phòng ngừa. Khuyến nghị này cũng được đưa vào Bản tin bảo mật mà chúng tôi đã gửi cho B2C của mình và khách hàng B2B vào đầu tháng 3 và liên lạc qua email lần thứ hai vào đầu tháng 4," người phát ngôn của LastPass nói với BleepingComputer.

"Tuy nhiên, một nhóm nhỏ khách hàng của chúng tôi vẫn chưa thực hiện hành động này, vì vậy chúng tôi đã khuyến khích họ thực hiện hành động trong lần đăng nhập tiếp theo vào LastPass. Chúng tôi đã bắt đầu nhắc nhở trong ứng dụng này vào đầu tháng 6 với hy vọng rằng nó sẽ nhận được phản hồi tốt hơn so với email của chúng tôi."

Những sự cố này xảy ra sau khi LastPass tiết lộ một lỗ hổng bảo mật vào tháng 12 năm 2022 sau khi những kẻ đe dọa đánh cắp một lượng lớn thông tin khách hàng được mã hóa một phần và dữ liệu kho mật khẩu.

Vụ vi phạm tháng 12 là kết quả của một vụ vi phạm khác từ tháng 8 năm 2022, với việc những kẻ tấn công giành được quyền truy cập vào bộ lưu trữ Amazon S3 được mã hóa của công ty bằng cách sử dụng dữ liệu bị đánh cắp từ vụ tấn công đầu tiên.

Nguồn: bleepingcomputer.com