Usuarios de LastPass han tenido problemas para iniciar sesión en sus correspondientes cuentas, por lo que la compañía ha aconsejado restaurar de nuevo sus cuentas y la configuración de autenticación para acabar con este error.
LastPass es un gestor de contraseñas seguro que almacena todos los nombres de usuario y contraseñas en un entorno protegido, que recibe el nombre de bóveda y que funciona como eje central de los datos almacenados. De ese modo, cuando el servicio guarda una contraseña, siempre la recordará a la hora de iniciar sesión en una página web.
A principios de mayo, la compañía anunció que, como parte de sus actualizaciones de seguridad, cabría la posibilidad de que los usuarios tuviesen que volver a iniciar sesión en el gestor, así como establecer su servicio de preferencia de autenticación multifactor (MFA, por sus siglas en inglés).
Entonces, dijo que los usuarios debían llevar a cabo esos cambios antes del 9 de mayo y desde ese momento se bloqueó el acceso de varios de ellos a sus cuentas, a pesar de haber configurado de nuevo el sistema de autenticación.
Los afectados comentaron entonces que no solo no podían acceder a sus cuentas, sino que tampoco podían comunicarse con elquipo de soporte de LastPass, puesto que para ello se necesitaba iniciar sesión en sus gestores, tal y como recoge Bleeping Computer.
“La resincronización forzada de MFA ahora me impide iniciar sesión porque Lastpass no reconoce el nuevo código MFA”, comentó un usuario al ponerse en contacto con el equipo de soporte de la compañía a través de Twitter.
LastPass ha lanzado varias actualizaciones en las que ha explicado las acciones que los usuarios deben llevar a cabo para restablecer la configuración MFA y ha dicho que han de inscribirse “una vez más” en el sistema de autenticación multifactor.
Con ello, ha explicado diversos supuestos en los que se pueden ver los usuarios. Por ejemplo, si se han cerrado todas las cuentas activas, si se han eliminado todos los dispositivos de confianza o si las entradas actualizadas de LastPass MFA en Google Authenticator, Microsoft Authenticator o Grid “ya no son válidas”.
Además, ha recordado que el gestor utiliza la función de derivación de clave basada en contraseña (PBKDF2), un ‘algoritmo de fortalecimiento de contraseñas’ que dificulta que alguien pueda acceder a esa credencial mediante un ataque de fuerza bruta.
Conviene mencionar que este error en el inicio de sesión del gestor sucede meses después que la compañía confirmase que los ciberdelincuentes pudieron acceder a su bóveda corporativa o de uso interno después de haber robado las credenciales necesarias para conocer su contenido a uno de sus empleados de DevOps.
You must be logged in to post a comment Login