Vários utilizadores do LastPass estão a enfrentar dificuldades no acesso às suas contas devido a actualizações de segurança feitas pela empresa. Os problemas começaram em maio de 2023, quando o gestor de palavras-passe anunciou algumas alterações futuras e alertou os utilizadores de que teriam de iniciar novamente a sessão nas suas contas e reconfigurar a sua autenticação de múltiplos factores (MFA).
Quando a segurança falha
Contudo, muitos utilizadores relatam que, mesmo após reconfigurar os seus códigos nas suas aplicações de autenticação, como a Google Authenticator ou até a própria aplicação da LastPass, ficaram bloqueados das suas contas.
Para agravar a situação, os utilizadores afectados não conseguem sequer aceder ao suporte do LastPass, uma vez que isso também requer o início de sessão. Em vez disso, são solicitados a reconfigurar a sua aplicação de autenticação repetidamente no cliente, já que o sistema falha em reconhecer os novos códigos que os utilizadores configuraram conforme as instruções.
Atualizações de segurança e os seus efeitos
O LastPass afirma que foram enviadas mensagens na aplicação e e-mails notificando os clientes para reconfigurarem a sua MFA muito antes do anúncio real das actualizações de segurança. Desde então, a empresa esclareceu o que realmente implicam as actualizações de segurança.
A empresa reforçou a sua função de derivação de chave baseada em palavra-passe (PBKDF2), um algoritmo “que dificulta a verificação por um computador de que qualquer palavra-passe é a palavra-passe mestra correta durante um ataque de comprometimento”.
Agora, o número mínimo padrão de iterações de palavras-passe após a actualização é de 600.000. Para realizar esta actualização, o LastPass afirma que foi necessário desconectar os utilizadores das suas contas e exigir que reconfigurassem a sua MFA.
Alerta para utilizadores
Deves aceder ao site do LastPass no teu navegador e reinscrever a tua aplicação MFA antes de poderes aceder ao LastPass novamente no teu dispositivo móvel. Não podes reinscrever utilizando a extensão do navegador LastPass ou a aplicação LastPass Password Manager.
O LastPass já figurou na nossa lista das melhores soluções de gestão de palavras-passe, mas desde que as “vaults” dos utilizadores foram roubadas numa série de violações na empresa, tomámos a decisão de removê-lo. As “vaults” estavam encriptadas e não havia indicação de que os actores da ameaça conseguiram decifrá-las — apenas se conseguissem adivinhar a tua palavra-passe mestra é que poderiam ganhar acesso.
No entanto, outros dados pessoais roubados dos clientes, como informações de contacto e de faturação, não estavam encriptados.
Outros artigos interessantes:
