[ziesell]

Zitat:

MFA: Lastpass sperrt Nutzer durch Sicherheitsupgrade aus

Aufgrund einer Sicherheitsmaßnahme müssen Lastpass-Nutzer ihre MFA-Anwendungen neu registrieren, um Zugriff auf ihre Passwörter zu erhalten.



In den vergangenen Tagen haben sich Beschwerden von Nutzern gehäuft, die aus ihren Lastpass-Konten ausgesperrt wurden. Ursache dafür sind Sicherheitsupgrades des Passwortmanagers, auf die dessen Entwickler bereits Anfang Mai hingewiesen hatte. Schon damals erklärte Lastpass in einem Tweet, dass die Anwender aufgrund des Upgrades möglicherweise ihre Multifaktor-Authentifizierungen (MFA) zurücksetzen müssen.

Wie Bleeping Computer berichtete, haben jedoch einige Benutzer inzwischen keinen Zugriff mehr auf ihre Konten. Manche von ihnen geben sogar an, dass sie der Aufforderung zum MFA-Reset bereits gefolgt waren. Erschwerend kommt hinzu, dass betroffenen Anwendern die Kontaktaufnahme zum Support verwehrt bleibt, da dafür ein Login erforderlich ist. Dieser gelingt jedoch nicht, weil das System die jeweiligen MFA-Codes nicht akzeptiert.

Da einige Nutzer auch die Zugangsdaten zu ihrem E-Mail-Postfach mit Lastpass verwalten, ist ein Passwort-Reset nicht immer ohne weiteres möglich. Ihnen fehlt schlichtweg der Zugriff auf die E-Mail für das Zurücksetzen des Passworts. Wieder andere Anwender berichten, dass ihnen die Mail gar nicht erst zugestellt worden sei.

Nutzer angeblich mehrfach von Lastpass informiert

Lastpass begründet die Änderungen in seinem Supportbereich mit einer erhöhten Sicherheit für das Master-Passwort der jeweiligen Nutzer. Wie ein Sprecher des Unternehmens Bleeping Computer erklärte, habe Lastpass seinen Kunden infolge der Sicherheitsvorfälle von 2022 bereits ab Anfang März empfohlen, ihre MFA-Anwendungen zurückzusetzen.

Im April seien Kunden sogar ein zweites Mal per E-Mail informiert worden. Da einige Anwender dieser Empfehlung noch immer nicht nachgekommen seien, habe sich Lastpass letztendlich dafür entschieden, sie bei der nächsten Benutzeranmeldung direkt in der Anwendung zu einem MFA-Reset aufzufordern.

In seinen FAQ stellt das Unternehmen eine detaillierte Anleitung für die geforderte Maßnahme bereit. Dort heißt es, dass für die erneute Registrierung der jeweiligen Authenticator-Anwendung des Nutzers eine Anmeldung auf der Lastpass-Webseite erforderlich sei. Direkt innerhalb der Browsererweiterung oder der mobilen App des Passwortmanagers sei der MFA-Reset demnach nicht durchführbar.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]