In seguito al furto di dati subito ad agosto e dicembre 2022, LastPass ha implementato diverse misure di sicurezza. Una di esse prevede il reset dell’autenticazione multifattore. Purtroppo le conseguenze sono state disastrose.
Login impossibile dopo il reset
LastPass ha comunicato all’inizio di maggio che gli utenti dovevano accedere all’account e resettare l’autenticazione multifattore (MFA), ovvero effettuare nuovamente il pairing con l’app utilizzata (ad esempio LastPass Authenticator, Microsoft Authenticator e Google Authenticator).
Purtroppo, dopo aver completato la procedura, alcuni utenti non hanno potuto accedere all’account, in quanto il codice MFA non viene riconosciuto. LastPass ha chiesto agli utenti di fornire maggiori dettagli sul problema tramite messaggio diretto su Twitter. Senza accesso all’account non è infatti possibile contattare il supporto tecnico.
Per incrementare la sicurezza della master password è stata utilizzata la Password-Based Key Derivation Function (PBKDF2) con SHA-256 per creare la chiava di cifratura. Ciò avviene utilizzando 600.000 round per la funzione. Il logout forzato e la procedura di reset dell’autenticazione multifattore sono associati all’aumento del numero di iterazioni.
Come misura aggiuntiva di sicurezza, gli utenti dovranno confermare anche la loro posizione al successivo login. LastPass ha informato gli utenti sui cambiamenti con due email all’inizio di marzo e aprile. Chi non ha effettuato il reset MFA vedrà l’avviso al primo login. La software house conferma che i miglioramenti solo correlati ai data breach del 2022. Entro fine anno verrà aggiunto il supporto per le passkey (creazione, salvataggio e accesso).