비밀번호 관리자인 라스트패스(LastPass)에서 사용자가 라스트패스 계정에서 종료되는 상황이 발생했다. 원인은 라스트패스 계정 다중 요소 인증 설정을 재설정해야 한다는 것이다.
지난 4월경 라스트패스는 5월 9일 실시 예정인 보안 업데이트로 사용자가 계정에 다시 로그인하고 다중 요소 인증 설정을 재설정해야 할 수 있다고 보고했다. 하지만 5월 9일 실시된 보안 업데이트 이후 다중 요소 인증용 애플리케이션(LastPass Authenticator, Microsoft Authenticator, Google Authenticator) 등에서 설정을 올바르게 리셋해도 사용자가 계정으로부터 체결되어 라스트패스에 계정 로그인할 수 없게 되는 문제가 보고됐다. 이 문제는 라스트패스 모기업인 고투커뮤니티 등에서도 보고됐다.
커뮤니티 포럼에선 해결 방법으로 3가지를 들었다. 첫째 IP 주소나 새 기기를 확인하려면 라스트패스에서 확인 메일이 도착하지 않았는지 이메일 주소를 확인하라는 것. 만료됐다면 다시 로그인을 시도하고 새 확인 메일을 받아야 한다. 둘째 계정 비밀번호가 기억나지 않아 라스트패스가 잠겼다면 고객 지원에 문의해야 한다. 셋째 다중 요소 인증을 다시 동기화할 수 없어 잠겼다면 고객 지원 센터에 문의하고 이메일로 재동기화를 위한 작업을 해야 한다.
그 밖에 라스트패스 측은 문제 해결에는 브라우저에서 라스트패스 공식 상트에 로그인하고 다중 요소 인증 애플리케이션을 재등록해야 한다고 설명하고 있다. 다중 요소 인증 애플리케이션과 페어링을 해제하는 방법도 설명하고 있다. 또 라스트패스 브라우저 확장 기능이나 라스트패스 패스워드 매니저 앱에서 다중 요소 인증 앱을 다시 등록할 수는 없다.
한편 사용자로부터 업데이트 전 사용자에게 알려야 했다는 지적에 대해 라스트패스 트위터 계정은 앱 내 메시지가 몇 주 동안 표시되며 이메일은 업데이트 1개월 이상 전에 전송된다며 앱을 사용하지 않고 이메일 구독을 취소하는 사용자에게 업데이트 내용을 명확하게 전달할 수 없었던 점에 대해 사과한다고 밝혔다.
이번 문제를 일으키게 된 5월 9일 실시된 보안 업데이트에 대해 라스트패스는 비밀번호 반복 횟수 기본 수치를 60만 회로 늘렸다고 설명했다. 또 라스트패스는 마스터 암호 보안을 강화하기 위해 라스트패스는 평소보다 강력한 버전 암호 기반 키 유도 함수 PBKDF2를 사용한다며 컴퓨터가 암호 중 하나가 올바른 마스터 암호인지 확인하기 어려운 암호 강화 알고리즘으로 이는 라스트패스 볼트 암호화와 관련이 있다고 설명하고 있다.
라스트패스 측은 하지만 일부 고객은 아직 이 액션을 실시하고 있지 않기 때문에 라스트패스에 로그인하려는 사용자에게 다중 요소 인증 리셋을 실행하는 걸 6월초부터 실시하고 있으며 효과를 발휘할 것으로 기대하고 있다고 밝혔다. 관련 내용은 이곳에서 확인할 수 있다.