LastPass在收到Salesforce安全研究員MartinVigo的警告后，用其雙因素身份驗證(2FA)實現解決了許多問題。

該公司表示，這些問題現在已經解決，用戶不必采取任何行動。

LastPass在一篇博客文章中說：“為了利用這個問題，攻擊者需要采取幾個步驟來繞過谷歌認證程序。

“首先，攻擊者必須將用戶吸引到一個邪惡的網站上。其次，用戶在訪問惡意網站時必須登錄LastPass。這些因素結合在一起，降低了用戶可能受到影響的可能性。”

根據Vigo的編寫，他發現Lastpass使用用戶密碼的散列來生成QR代碼，該代碼用于在用戶的設備上設置2FA。

維戈說：“Lastpass就是把2FA的秘密種子存儲在一個可以從你的密碼導出的URL下面。“這實際上超過了2FA的全部目的，2FA是一層安全措施，以防止已經擁有密碼的攻擊者登錄。

“要正確看待這件事，想象一下，如果你把你最有價值的東西放在家里，你就會有一個保險箱。你認為門和保險箱有相同的鎖是個好主意嗎？門鑰匙也應該打開保險箱嗎？”

結合跨站點請求偽造（CS RF），Vigo說，他能夠避免認證限制LastPass圍繞2FA過程。

他說：“值得注意的是，攻擊者沒有必要潛入受害者的惡意網站。”“攻擊者可以使用Facebook或Gmail等受受害者信任的站點上的任何XSS添加有效負載，竊取QR代碼并將其發送回他的服務器。”

然后Vigo發現了另一個更簡單的漏洞，允許他使用GET請求重新生成用戶的2FA種子，通過這樣做，LastPass將禁用用戶的2FA。

LastPass通過添加CSRF令牌解決了2FA禁用問題，該公司正在尋找是否有任何其他CSRF漏洞。根據Vigo的說法，該公司還為其qr代碼請求添加了對源頭的檢查，并將直接密碼哈希替換為基于鹽度的用戶ID哈希。

該公司在維哥通知他們問題的第二天就申請了修復。

在過去的一年里，LastPass在安全方面有了一系列的突破。

3月，GoogleProjectZero研究人員TavisOrmandy在其Chrome擴展上發現了一個遠程代碼執行漏洞，該漏洞可能允許將不受信任的消息代理到LastPass。

Ormandy說：“這允許完全訪問內部特權LastPass RPC命令。“內部有數百個LastPass RPC，但顯然壞的是復制和填寫密碼（copypass、fill form等）的東西。”

LastPass早在2016年7月就去世了，當時谷歌的研究人員發現了允許LastPass賬戶遠程妥協的漏洞。