С 9 мая 2023 года менеджер паролей LastPass стал предлагать пользователям сбросить свой метод двухфакторной аутентификации. Это было связано с тем, что количество итераций PBKDF2 было повышено до 600 000.
Увеличенное количество итераций улучшает защиту мастер-пароля клиента, что затрудняет подбор мастер-пароля злоумышленниками.
На странице поддержки LastPass поясняет, что для преобразования мастер-пароля в ключ шифрования используется функция «PBKDF2» на базе алгоритма SHA-256. Количество итераций используется для создания ключа шифрования, и еще она итерация PBKDF2 выполняется для создания хеша для входа в систему. Этот хеш затем передается в LastPass и используется для аутентификации клиента.
Для новых аккаунтов теперь по умолчанию используется 600 000 итераций. В существующих аккаунтах пользователи могут повысить количество итераций до 600 000.
LastPass проинформировал клиентов о предстоящем изменении по электронной почте, а также попросил пользователей сбросить настройки многофакторной аутентификации в используемых приложениях.
По крайней мере, некоторые клиенты LastPass столкнулись с циклическими сбросами, из которых невозможно выйти. За последние несколько дней несколько клиентов LastPass опубликовали на официальном форуме жалобы, что они больше не могут открыть свои хранилища после выполнения инструкций компании по сбросу многофакторной аутентификации.
Интересно, что пользователи LastPass, столкнувшиеся с циклическим сбросом, не могут оставить тикет в службе поддержки, так как это возможно только для авторизованных пользователей. Пострадавшие пользователи оставляют сообщения в Twitter или на форуме поддержки LastPass.
LastPass объясняет весь процесс сброса на странице поддержки, где раскрывает важную информацию о процедуре. Клиенты LastPass должны войти на сайт LastPass в браузере для сброса функции безопасности многофакторной аутентификации. Сброс не сработает при использовании расширений браузера или мобильных приложений LastPass.
Для сброса метода аутентификации выполните следующие шаги:
- Нажмите кнопку Continue (Продолжить) после входа в LastPass. LastPass отправит шестизначный код безопасности на привязанный адрес электронной почты.
- Введите код и нажмите Verify (Подтвердить).
- Откройте приложение для аутентификации на мобильном устройстве.
- Отсканируйте QR-код в браузере, с помощью приложения, чтобы выполнить привязку. Возможно, потребуется выбрать Replace (Заменить) или Remove (Удалить), чтобы удалить старую информацию.
![]()
- Введете новый шестизначный код безопасности из приложения и нажмите Verify (Подтвердить).
- Войдите в LastPass и выполните аутентификацию с помощью приложения для многофакторной аутентификации.
LastPass забыл упомянуть, что также отправляется второе электронное письмо, в котором пользователей просят подтвердить свое устройство и местоположение. Не выполнение этого действия, по-видимому, мешает успешному входу в систему.
В 2022 году LastPass столкнулся с серьезным нарушением безопасности, которое привело к копированию злоумышленником данных из хранилища пользователей и их информации. Пользователей LastPass попросили изменить все свои пароли, включая мастер-пароль. В результате некоторые пользователи LastPass перешли на другие менеджеры паролей.
Повышение количества итераций улучшает защиту для всех пользователей и затрудняет расшифровку украденных данных злоумышленниками.
Обновления программ, что нового
• В России запретили IP-телефонию для ограничения телефонного мошенничества
• МТС выпустила игровую приставку для облачного гейминга
• Samsung Galaxy S25: Локальная обработка ИИ на Snapdragon 8 Elite
• Масштабный сбой в работе ChatGPT и генератора видео Sora
• Роскомнадзор: вводить штрафы за использование VPN в России не планируется
• Обновление Intel ARC Game On Driver 32.0.101.6332 Non-WHQL: Исправления для процессоров Intel Core Ultra серии 2