Neuer Ärger für LastPass:
Authentifizierungs-App sperrt Nutzer aus
Auf die Sicherheitsverletzungen beim Passwort-Manager LastPass hat das Unternehmen mit einer Maßnahme reagiert, die nun bei vielen Nutzern für Probleme sorgt. Obwohl LastPass rechtzeitig Nutzer vor bevorstehenden Änderungen warnte, ist nun der Aufschrei groß.
Aufgrund möglicher Kompromittierung hat LastPass die Zurücksetzung der Authentifizierungs-App erzwungen. Der beliebte Passwort-Manager war in den vergangenen Monaten mehrfach aufgrund von Schwachstellen in die Schlagzeilen geraten. Zuletzt war dazu bekannt geworden, dass Hacker über einen Privat-PC eines Entwicklers die Firmen-Cloud angegriffen hatten und LastPass wichtige Details zu Sicherheitsvorfällen verheimlicht hatte.
Die Probleme rühren von einer erzwungenen Zurücksetzung der Authentifizierungs-App her, die das Unternehmen nach einer Reihe von Sicherheitsvorfällen im vergangenen Jahr eingeführt hat.
Die Frustration unter den LastPass-Benutzern ist groß, denn um auf den Support zugreifen zu können, müssen die Nutzer bei ihren Konten angemeldet sein. Laut dem Online-Magazin Bleeping Computer führt das quasi in eine Endlosschleife, in der man immer wieder aufgefordert wird, die Authenticator-App zurückzusetzen.
Ein Teil unserer Kunden hat diese Maßnahme jedoch immer noch nicht ergriffen, sodass wir sie bei ihrer nächsten Anmeldung bei LastPass dazu auffordern, dies zu tun. Wir haben diese produktinterne Aufforderung bereits Anfang Juni gestartet, in der Hoffnung, dass sie auf mehr Resonanz stößt als unsere E-Mails."
LastPass erklärte nun gegenüber Bleeping Computer lediglich, warum man sich neu anmelden muss, aber nicht, wie den jetzt ausgesperrten Nutzer geholfen werden kann. Stattdessen gibt es nur eine aktualisierte Anleitung für den Prozess des Zurücksetzens.
Siehe auch:
Nutzer werden zwangsweise abgemeldet
Um nun wieder für ein besseres Sicherheitsgefühl der Nutzer zu sorgen, hat LastPass im Mai damit begonnen, Nutzer zwangsweise abzumelden. Dann mussten die Nutzer sich neu anmelden und neu authentifizieren - und die Apps zur Multifaktor-Authentifizierung wie Google Authenticator, Microsoft Authenticator oder den LastPass Authenticator zurückzusetzen. Infografik: Ein sicheres Passwort wählen
Zugriff auf Tresore scheitert
Dadurch verlieren mögliche Dritte den Zugriff auf die Daten-Tresore der LastPass-Nutzer. Das verursacht nun aber mehr Probleme, als es löst: Betroffene melden, dass obwohl sie die Anweisungen des Unternehmens befolgt hatten, selbst nicht mehr auf ihre LastPass-Tresore zugreifen können.Die Probleme rühren von einer erzwungenen Zurücksetzung der Authentifizierungs-App her, die das Unternehmen nach einer Reihe von Sicherheitsvorfällen im vergangenen Jahr eingeführt hat.
Alle Versuche erfolglos
Es gibt in den diversen Foren nun Beschwerden von verwirrten und verärgerten Nutzern, die sich aus ihren Konten ausgesperrt haben. Bei der Neusynchronisierung der hinterlegten Daten der LastPass Authenticator-App, die Teil des Rücksetzprozesses ist, haben die Nutzer festgestellt, dass LastPass neue MFA-Codes nicht erkennt und sie daher nicht auf ihre Konten zugreifen können. Master-Passwörter - die normalerweise als Sicherheitsnetz gelten - funktionieren ebenfalls nicht, und Versuche, Passwörter zurückzusetzen, sind erfolglos.Die Frustration unter den LastPass-Benutzern ist groß, denn um auf den Support zugreifen zu können, müssen die Nutzer bei ihren Konten angemeldet sein. Laut dem Online-Magazin Bleeping Computer führt das quasi in eine Endlosschleife, in der man immer wieder aufgefordert wird, die Authenticator-App zurückzusetzen.
Stellungnahme von LastPass
"Nach den 2022 Vorfällen haben wir E-Mails und produktinterne Mitteilungen an unsere Kunden verschickt, in denen wir ihnen empfohlen haben, ihre MFA mit ihrer bevorzugten Authenticator-App als Vorsichtsmaßnahme zurückzusetzen. Diese Empfehlung war auch in den Sicherheitsbulletins enthalten, die wir Anfang März an unsere B2C- und B2B-Kunden verschickt haben, sowie in einer zweiten E-Mail-Mitteilung Anfang April.Ein Teil unserer Kunden hat diese Maßnahme jedoch immer noch nicht ergriffen, sodass wir sie bei ihrer nächsten Anmeldung bei LastPass dazu auffordern, dies zu tun. Wir haben diese produktinterne Aufforderung bereits Anfang Juni gestartet, in der Hoffnung, dass sie auf mehr Resonanz stößt als unsere E-Mails."
LastPass erklärte nun gegenüber Bleeping Computer lediglich, warum man sich neu anmelden muss, aber nicht, wie den jetzt ausgesperrten Nutzer geholfen werden kann. Stattdessen gibt es nur eine aktualisierte Anleitung für den Prozess des Zurücksetzens.
Zusammenfassung
- LastPass reagiert auf Sicherheitsverletzungen mit Rücksetzung der App.
- LastPass warnte Nutzer rechtzeitig vor bevorstehenden Änderungen.
- Viele Nutzer können trotzdem nicht mehr auf ihre Tresore zugreifen.
- Ursache: Zurücksetzung der Authentifizierungs-App.
- Nutzer berichten von Verwirrung und Frustration.
- LastPass erklärte lediglich, warum man sich neu anmelden muss.
- Hilfe nur in Form einer aktualisierten Anleitung.
Siehe auch:
- LastPass: Über Privat-PC eines Entwicklers Firmen-Cloud angegriffen
- Britische Regierung stuft Passwort-Sharing als illegal und Betrug ein
- Passkeys: Chrome unterstützt Authentifizierung ohne Passwort
- 2FA: Entwickler nutzt Commodore SX-64 als Passwort-Generator
- Heylogin: Mozilla investiert in Passwort-Manager ohne Master-Passwort
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Antivirus:
Neue Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen