Die Verwendung dieser Funktion umfasst einen dreistufigen technischen Prozess nach folgendem Ablauf:

Wenn ein Administrator die Richtlinie „Zurücksetzen von Master-Passwörtern durch Superadministratoren erlauben“ aktiviert, wird für den Administrator ein asymmetrisches Schlüsselpaar (öffentlich/privat) generiert. Der öffentliche asymmetrische Schlüssel des Superadministrators wird an die LastPass-Cloud gesendet und gespeichert. Der private asymmetrische Schlüssel des Superadministrators wird mit seinem symmetrischen Vault-Schlüssel verschlüsselt und an die LastPass-Cloud gesendet und gespeichert.

Als Nächstes findet ein Schlüsselaustausch statt, wenn sich der ausgewählte Benutzer (dessen Master-Passwort zurückgesetzt werden soll) über die LastPass-Browsererweiterung (nicht die Website) anmeldet. LastPass lädt dann den öffentlichen asymmetrischen Schlüssel jedes Superadministrators aus der LastPass-Cloud herunter. Der öffentliche asymmetrische Schlüssel jedes Superadministrators wird zum Verschlüsseln des symmetrischen Vault-Schlüssels des ausgewählten Benutzers verwendet. Der verschlüsselte symmetrische Vault-Schlüssel wird dann an die LastPass-Cloud zurückgesendet und gespeichert (einer für jeden in der Richtlinie aufgeführten Superadministrator).

Wenn der Superadministrator das Master-Passwort des ausgewählten Benutzers zurücksetzt, laufen die folgenden Aktionen ab:

1. Der verschlüsselte Vault des Zielbenutzers und der verschlüsselte symmetrische Vault-Schlüssel des Benutzers werden auf den lokalen Computer des Superadministrators heruntergeladen. Der Superadministrator lädt auch seinen eigenen verschlüsselten privaten asymmetrischen Schlüssel von LastPass herunter.
2. Der Superadministrator entschlüsselt dann seinen privaten asymmetrischen Schlüssel mithilfe seines symmetrischen Vault-Schlüssels und verwendet diesen privaten symmetrischen Schlüssel, um den verschlüsselten symmetrischen Vault-Schlüssel des Benutzers zu entschlüsseln. Der Superadministrator kann dann den verschlüsselten Vault des Zielbenutzers mit dem symmetrischen Vault-Schlüssel des Benutzers entschlüsseln.
3. Als Nächstes wählt der Superadministrator ein neues Master-Passwort aus, das (zusammen mit einem Salt des Benutzernamens des Zielbenutzers) gehasht wird, um einen neuen symmetrischen Vault-Schlüssel für diesen Benutzer zu erstellen. Der neue symmetrische Vault-Schlüssel des Benutzers wird mit dem privaten asymmetrischen Schlüssel des Superadministrators verschlüsselt und ersetzt die alten Daten in der LastPass-Cloud. Der neu verschlüsselte Vault des Zielbenutzers wird ebenfalls an LastPass gesendet, um den ursprünglichen Vault zu ersetzen.

1. Melden Sie sich unter https://lastpass.com/company/#!/dashboard bei der Administrationskonsole an.
2. Gehen Sie zu Einstellungen > Richtlinien > Richtlinie hinzufügen > Zurücksetzen von Master-Passwörtern durch Superadministratoren erlauben.
3. Klicken Sie auf Benutzer bearbeiten und fügen Sie dann alle Administratoren der Liste hinzu, die Sie als Superadministratoren festlegen möchten, die Master-Passwörter von Benutzern zurücksetzen können.
   Hinweis: Alle hinzugefügten Benutzer müssen Kontoadministratoren sein, damit sie hinzugefügt werden können.
4. Geben Sie nach Bedarf im Abschnitt „Notizen“ Informationen zu dieser Richtlinie ein.
5. Klicken Sie abschließend auf Speichern.

Sie können aktive Benutzer wie folgt beschrieben zwingen, sich abzumelden, damit die Option zum Zurücksetzen des Master-Passwortes für Sie verfügbar wird:

1. Gehen Sie in der Administrationskonsole im Menü links zu Benutzer.
2. Aktivieren Sie das Kontrollkästchen neben „E-Mail-Adresse“ im Benutzerfenster, um alle Benutzer auszuwählen. Andernfalls können Sie die Kontrollkästchen einzelner Benutzer aktivieren.
3. Klicken Sie auf den Link „Mehr“ (...) und wählen Sie dann Alle Sitzungen für ausgewählte Benutzer beenden.
4. Klicken Sie zur Bestätigung auf OK. Die ausgewählten Benutzer werden sofort von LastPass abgemeldet.

Nachdem die Richtlinie aktiviert wurde und der betreffende Benutzer sich abgemeldet hat, können Sie das Master-Passwort zurücksetzen. Beachten Sie, dass das verknüpfte private LastPass-Konto eines Benutzers (sofern vorhanden) beim Zurücksetzen seines Master-Passworts automatisch von seinem LastPass-Unternehmenskonto getrennt wird. Falls gewünscht, kann der Benutzer sein privates Konto erneut verknüpfen.

1. Gehen Sie in der Administrationskonsole im Menü links zu Benutzer.
2. Klicken Sie auf die E-Mail-Adresse des Benutzers und dann auf das Symbol „Mehr“ und wählen Sie Master-Passwort zurücksetzen aus.
   
3. Klicken Sie auf OK, wenn Sie dazu aufgefordert werden.
4. Geben Sie Ihr Master-Passwort ein und klicken Sie auf Abschicken.
5. Geben Sie ein neues Master-Passwort für den Benutzer ein und wiederholen Sie es zur Bestätigung. Wenn Sie möchten, können Sie auf E-Mail-Adresse des Benutzers ändern klicken, um auch seinen LastPass-Benutzernamen zu aktualisieren. Sie können das Häkchen entfernen, um die Option „Bei der nächsten Anmeldung Passwortänderung erzwingen“ zu deaktivieren. Aus Sicherheitsgründen ist sie standardmäßig aktiviert.
6. Klicken Sie abschließend auf Abschicken.

Wenn Sie in den Richtlinien Ihres Kontos als Superadministrator hinzugefügt wurden und die Option „Superadministrator – Master-Passwort zurücksetzen“ für einen Benutzer nicht sehen können, wurde der Benutzer möglicherweise noch nicht von seiner aktiven LastPass-Sitzung abgemeldet. Sie können den Benutzer zwingen, sich abzumelden, und ihm dann empfehlen, sich über die LastPass-Browsererweiterung (nicht die Website) wieder bei seinem Konto anzumelden. Sobald dies geschehen ist, können Sie die Seite „Benutzer“ in der Administrationskonsole aktualisieren und den Vorgang wiederholen.

Wenn Sie in LastPass Enterprise zur Einrichtung neuer Benutzer die Verbundanmeldung mit ADFS, Okta oder Azure AD verwenden, ist das verwendete Master-Passwort das im Active Directory des Benutzers gespeicherte Kontopasswort. Wenn das Master-Passwort eines Verbundbenutzers zurückgesetzt wird, ändert sich der Status des Benutzers in einen nicht verbundenen Benutzer. So wird der Benutzer ohne Datenverluste wieder Verbundbenutzer.