HELP FILE

Het hoofdwachtwoord van een gebruiker resetten (superbeheerder)

LastPass-beheerders kunnen het beleid "Superbeheerder - Hoofdwachtwoord wijzigen" voor hun account inschakelen zodat aangewezen beheerders het hoofdwachtwoord van een gebruiker kunnen resetten. Nadat dit is ingeschakeld, kan het hoofdwachtwoord van nieuwe gebruikersaccounts gereset worden; bestaande gebruikers die zijn aangemeld moeten zich afmelden en weer aanmelden via de LastPass-browserextensie voordat de reset-optie voor de beheerder beschikbaar is.

Opmerking: Actieve gebruikers moeten zich via de LastPass-browserextensie aanmelden, aangezien het activeren van de reset-optie voor de beheerder niet wordt geactiveerd als er wordt aangemeld via https://lastpass.com.

Onderwerpen in dit artikel:

Hoe het werkt

De beleidsregel inschakelen

Afmelden van actieve gebruiker afdwingen

Het hoofdwachtwoord van een gebruiker resetten

Waarom zie ik deze optie niet?

Het hoofdwachtwoord van een federatieve gebruiker resetten

Hoe het werkt

Als deze functie gebruikt gaat worden, moet er een technisch proces in drie stappen worden gevolgd, namelijk:

Stap 1:  De beleidsregel "Superbeheerder - Hoofdwachtwoord wijzigen" wordt ingeschakeld

Wanneer een beheerder de beleidsregel "Superbeheerder - Hoofdwachtwoord wijzigen" inschakelt, wordt er een asymmetrisch sleutelpaar (openbaar/persoonlijk) voor de beheerder gegenereerd. De openbare asymmetrische sleutel van de superbeheerder wordt naar de LastPass-cloud verstuurd en daar opgeslagen. De persoonlijke asymmetrische sleutel van de superbeheerder wordt versleuteld met de symmetrische encryptiesleutel van de kluis van de benoemde superbeheerder en naar de LastPass-cloud verstuurd en daar opgeslagen.

Opmerking: Op dit punt in het proces heeft de vermelde superbeheerder nog niet de mogelijkheid het hoofdwachtwoord van een gebruiker te resetten.

Stap 2: Aanmelding van gebruiker via de LastPass-browserextensie activeert de beleidsoptie

Vervolgens vindt er een uitwisseling van sleutels uit wanneer de geselecteerde gebruiker (waarvan het hoofdwachtwoord gereset moet worden) zich aanmeldt via de LastPass-browserextensie (niet via de website). LastPass downloadt daarna de openbare asymmetrische encryptiesleutel van elke superbeheerder uit de LastPass-cloud. De openbare asymmetrische encryptiesleutel van elke superbeheerder wordt gebruikt om de symmetrische encryptiesleutel van de kluis van de geselecteerde gebruiker te versleutelen. Deze versleutelde symmetrische encryptiesleutel van de kluis wordt vervolgens weer verstuurd naar de LastPass-cloud en daar opgeslagen (één voor elke superbeheerder die in de beleidsregel wordt vermeld).

Opmerking: Op dit punt van het proces beschikt de vermelde superbeheerder in de Admin Console over de optie om het hoofdwachtwoord voor de geselecteerde gebruiker te resetten.

Stap 3: De superbeheerder reset het hoofdwachtwoord van de gebruiker

Wanneer de superbeheerder het hoofdwachtwoord van de geselecteerde gebruiker reset, vinden de volgende acties plaats:

  1. De versleutelde kluis van de beoogde gebruiker en de versleutelde symmetrische encryptiesleutel van de kluis worden gedownload naar de lokale computer van de superbeheerder. De superbeheerder downloadt ook de eigen persoonlijke asymmetrische encryptiesleutel van LastPass.
  2. De superbeheerder ontsleutelt de eigen persoonlijke asymmetrische encryptiesleutel met behulp van de symmetrische encryptiesleutel van de kluis en gebruikt deze persoonlijke symmetrische encryptiesleutel om de versleutelde symmetrische encryptiesleutel van de kluis van de gebruiker te ontsleutelen. De superbeheerder kan daarna de versleutelde kluis van de beoogde gebruiker ontsleutelen met gebruikmaking van de symmetrische encryptiesleutel van de kluis van de gebruiker.
  3. Vervolgens selecteert de superbeheerder een nieuw hoofdwachtwoord dat wordt gehasht (met een salt uit de gebruikersnaam van de beoogde gebruiker) om een nieuwe symmetrische encryptiesleutel van de kluis voor die gebruiker aan te maken. De nieuwe symmetrische encryptiesleutel van de kluis van de gebruiker wordt versleuteld met de openbare asymmetrische encryptiesleutel van de superbeheerder en vervangt de oude gegevens in de LastPass-cloud. De nieuw versleutelde kluis van de beoogde gebruiker wordt ook naar LastPass verstuurd ter vervanging van de oorspronkelijke kluis.

De beleidsregel inschakelen

  1. Meld u aan en open de Admin Console via https://lastpass.com/company/#!/dashboard.
  2. Ga naar InstellingenBeleidsregelsBeleidsregel toevoegenSuperbeheerder - Hoofdwachtwoord wijzigen.
  3. Klik op Gebruikers bewerken en voeg alle beheerders aan de lijst toe die u wilt aanmerken als superbeheerders die het hoofdwachtwoord voor gebruikers kunnen resetten. Opmerking: Om aan de lijst toegevoegd te kunnen worden, moeten alle gebruikers die u aan de lijst toevoegt accountbeheerders zijn.
  1. In het gedeelte "Notities" kunt u eventueel informatie over deze beleidsregel toevoegen.
  2. Klik op Opslaan wanneer u klaar bent.

Afmelden van actieve gebruiker afdwingen

U kunt actieve gebruikers dwingen zich af te melden zodat de optie voor het resetten van het hoofdwachtwoord beschikbaar wordt. Dit doet u als volgt:

  1. Ga in de Admin Console in het menu links naar Gebruikers.
  2. Schakel het selectievakje in naast "E-mail" in het gebruikersvenster om alle gebruikers te selecteren, of schakel selectievakjes in bij een of meer individuele gebruikers.
  3. Klik op de hyperlink "Meer" (...) en selecteer Alle sessies voor geselecteerde gebruikers verwijderen.
  4. Klik op OK om te bevestigen. De geselecteerde gebruikers worden per direct bij LastPass afgemeld.

Het hoofdwachtwoord van een gebruiker resetten

Nadat de beleidsregel is ingeschakeld en de gebruiker waarvan u het hoofdwachtwoord wilt resetten is afgemeld, kunt het proces voor het resetten van het hoofdwachtwoord volgen. Houd er rekening mee dat het resetten van het hoofdwachtwoord van een gebruiker inhoudt dat een eventuele gekoppelde persoonlijke LastPass-account van die gebruiker automatisch wordt ontkoppeld van de zakelijke LastPass-account. De gebruiker kan eventueel opnieuw de persoonlijke account koppelen.

WAARSCHUWING! Als gebruiker waarvan het hoofdwachtwoord gerest moet worden een federatieve gebruiker is, wordt deze bij de reset omgezet naar een niet-federatieve gebruikersaccount. Lees hoe de gebruiker zonder risico op gegevensverlies weer een federatieve gebruiker kan worden.

  1. Ga in de Admin Console in het menu links naar Gebruikers.
  2. Klik op het e-mailadres van de gebruiker, klik op het pictogram Meer Drie puntjes en selecteer Superbeheerder - Hoofdwachtwoord wijzigen.
  3. Klik op OK wanneer u hierom gevraagd wordt.
  4. Voer uw eigen hoofdwachtwoord in en klik vervolgens op Verzenden.
  5. Voer een nieuw wachtwoord in en voer het nogmaals in om het te bevestigen. U kunt eventueel E-mailadres gebruiker wijzigen om ook de gebruikersnaam voor LastPass bij te werken. U kunt ervoor kiezen het selectievakje bij de optie "Wijziging van wachtwoord forceren bij volgende aanmelding" inschakelen; deze optie is standaard uitgeschakeld als best practice op het gebied van beveiliging.
  6. Als u klaar bent, klikt u op Verzenden.

Waarom zie ik deze optie niet?

Als u in het accountbeleid bent toegevoegd als superbeheerder en de optie "Superbeheerder - Hoofdwachtwoord wijzigen" niet ziet, betekent dat dat de gebruiker nog niet is afgemeld bij de actieve LastPass-sessie. U kunt de gebruiker dwingen zich af te melden en hem of haar vervolgens vragen zich weer bij de account aan te melden via de LastPass-browserextensie (niet via de website). Zodra dat is gebeurd, kunt u de gebruikerspagina in de Admin Console vernieuwen en het opnieuw proberen.

Het hoofdwachtwoord van een federatieve gebruiker resetten

Als uw LastPass Enterprise-organisatie gebruikmaakt van Active Directory Federation Services (AD FS) om nieuwe gebruikers in te richten, is het hoofdwachtwoord dat wordt gebruikt het wachtwoord voor de gebruikersaccount die in hun Active Directory is opgeslagen. Als het hoofdwachtwoord van een federatieve gebruiker wordt gerest, wordt de account van de betreffende gebruiker tijdens de reset omgezet naar een niet-federatieve status. Lees hoe de gebruiker zonder risico op gegevensverlies weer een federatieve gebruiker kan worden.