Bir dizi planlı güvenlik yükseltmesinin ardından, binlerce Son Geçiş hizmet, kimlik doğrulayıcı uygulamalarını sıfırlamalarını gerektirdikten sonra, Mayıs ayından bu yana kullanıcıların hesaplarına erişimi engellendi.
tarafından bildirildiği gibi BleepingBilgisayarşirket bu yılın başlarında şifre yöneticisi kullanıcılarının hesaplarına yeniden giriş yapmaları ve hesaplarını sıfırlamaları gerekeceğini duyurdu. çok faktörlü kimlik doğrulama (MFA) tercihi.
Bu, kağıt üzerinde yeterince basit görünse de, o zamandan beri birçok LastPass kullanıcısının hesapları kilitlendi ve sonuç olarak LastPass kasalarına erişemiyor. Bu, LastPass Authenticator, Microsoft Authenticator, Google Authenticator veya şifre yöneticisi ile kullanmayı seçtikleri herhangi bir MFA uygulamasını başarıyla sıfırladıktan sonra bile meydana geldi.
Daha da kötüsü, hesapları kilitlenen LastPass müşterileri, destek ekibiyle iletişime geçmek için LastPass hesabınızda oturum açmanız gerektiğinden yardım için şirkete başvuramaz.
Bu değişiklik birçok LastPass kullanıcısı için sürpriz olsa da şirket, bu gerekli MFA sıfırlamalarının ilk duyurudan “birkaç hafta” önce uygulaması aracılığıyla duyurulduğunu söylüyor.
İyi niyetli güvenlik yükseltmeleri
LastPass kullanıcıları artık kasalarına ve kasalarında depolanan kimlik bilgilerine erişemedikleri için hayal kırıklığına uğrasalar da, şirket birkaç tavsiye belgesinde değişikliğin parola yinelemelerini yeni varsayılan 600.000 tura çıkarmak amacıyla yapıldığını açıklamaya devam etti.
Örneğin, bir destek bülteniLastPass, hizmetin artık kullanıcıların ana parolalarının güvenliğini daha da artırmak için “Parola Tabanlı Anahtar Türetme İşlevinin (PBKDF2) normalden daha güçlü bir sürümünü” kullandığını açıkladı.
Bu “şifre güçlendirme algoritması” ayrıca güvenliği ihlal edilmiş bir bilgisayarın herhangi bir parolanın kullanıcının doğru olup olmadığını kontrol etmesini zorlaştırır. Ana parola bir siber saldırı sırasında Bu nedenle, LastPass’ın MFA yeniden eşitlemesinin nedeni, her müşterinin parola yinelemelerini artırırken kasalarının şifrelemesini iyileştirmek için yapıldı.
Parolalarınızı daha güvenli tutmaya yönelik iyileştirmeler, her zaman en iyi şifre yöneticileri ancak bu yükseltmeler hesabınıza tekrar giriş yapmanızı engelliyor ve kimlik bilgilerinize erişmenizi neredeyse imkansız hale getiriyorsa, etkilenen LastPass müşterilerinin, platformu daha güvenli hale getirmek için tasarlanmış olmasına rağmen değişiklikten neden rahatsız olduğunu görmek kolaydır.
LastPass hesabınız kilitlendiyse ne yapmalısınız?
Bu değişikliğin bir sonucu olarak LastPass hesabınız kilitlendiyse şirket, adım adım bir kılavuz sağladı. ayrıntılı destek belgesi.
Yukarıda bağlantısı verilen kılavuzu izlerseniz, LastPass ile tercih ettiğiniz kimlik doğrulama uygulaması arasındaki eşleştirmeyi sıfırlamak için gereken ayrıntılı prosedür açıklanır. Bu yapıldıktan sonra, hizmeti kullanan bir web sitesinde veya uygulamada bir sonraki oturum açışınızda konumunuzu doğrulamanız gerekir. Buradan ayrıca, kimlik bilgilerinizi tekrar girmeniz ve kimlik doğrulayıcı uygulamanızı kullanarak kimlik doğrulamanız gerekecektir.
Ek bir güvenlik önlemi olarak, LastPass kullanıcılarından hizmeti kullanarak bir web sitesine veya uygulamaya tekrar giriş yaptıklarında konumlarını bir kez daha doğrulamaları istenecektir. Aynı şekilde, kullanıcıların oturum açma kimlik bilgilerini yeniden girmeleri ve tercih ettikleri kimlik doğrulayıcı uygulamasını kullanarak kimliklerini bir kez daha doğrulamaları istenecektir.
LastPass’ın tüm bu yeni güvenlik yükseltmelerini neden uyguladığını merak ediyorsanız bunun nedeni, bilgisayar korsanlarının büyük miktarda kısmen şifrelenmiş müşteri bilgilerini ve parola kasası verilerini çalmayı başardığı geçen yılın Aralık ayında gerçekleşen bir güvenlik ihlalidir. Bu güvenlik ihlali aslında sonucuydu başka bir ihlal Ağustos 2022’de gerçekleşti.
Parola yöneticileri her türlü kimlik bilgisine, sırlara ve diğer hassas bilgilere sahip olduklarından, ne yazık ki bilgisayar korsanları için ana hedef olmaya devam edeceklerdir. Neyse ki, LastPass ve diğer parola yönetimi şirketleri zaten uygulamaya geçti veya üzerinde çalışıyor. geçiş anahtarı desteği hizmetlerini daha da güvenli hale getirmek için.