密码管理器 Dashlane 于周一发布了一则安全通报,称有攻击者通过暴力破解双因素认证(2FA)的方式,成功获取了 20 个加密用户保险库(vault)。该通报未提及攻击的具体原因、受影响账户的详细信息以及是否已修复漏洞,引发了用户和业界的广泛批评。
根据 Dashlane 官方声明,攻击从 2026 年 5 月 31 日(周日)开始,外部人员针对特定用户账户发起暴力破解,试图绕过双因素认证保护并注册新设备。Dashlane 称其安全控制自动锁定了受攻击的账户,随后又解除了锁定。但声明中并未说明攻击者是否成功破解了所有 20 个保险库的加密内容,也未解释为何攻击者能在未获得密码的情况下直接触发 2FA 请求——这是许多用户难以理解的关键点。
暴力破解 2FA 的技术疑问
通常双因素认证采用一次性密码(OTP),由认证应用生成或通过短信、邮件发送,有效期通常为 45 秒左右。但 Dashlane 用户收到的通知显示,该 2FA 代码有效期为 3 小时。若攻击者在 3 小时内尝试所有 100 万种可能的 6 位数字组合,理论上存在破解可能,但需要极大的网络请求量。Dashlane 未明确说明是否对 2FA 提交实施了速率限制,仅提到“由于用户账户上的大量尝试,安全控制自动锁定账户”。即便没有速率限制,在短时间内高频请求 Dashlane 服务器也并非典型暴力攻击的常见手法,因此部分专家对攻击可行性存疑。
此外,Dashlane 在通报中表示“没有证据表明攻击者访问了任何未加密的保险库数据”,但对于加密保险库被“获取”的具体含义——是指攻击者下载了加密数据,还是仅获得了加密后的文件——并未给出清晰说明。这使得用户无法判断自身密码库是否面临实际风险。
安全通报沟通严重不足
事件曝光后,大量用户在社交媒体上表达不满。一位英国用户表示,自己收到 2FA 请求后通过 Dashlane 支持机器人询问,却得不到任何解释,最终是通过 Mastodon 安全社区才得知事件详情。“作为付费用户,我认为应该由 Dashlane 直接通知我,而不是从信息安全人士那里听说。”该用户说道。类似声音在 Reddit、Twitter 等平台比比皆是。
Dashlane 至今未对通报中的模糊之处做出补充说明,也未说明是否会直接联系受影响的 20 名用户。在密码管理器信任至关重要的行业中,这种沟通方式严重损害了用户信心。此次事件提醒安全厂商:当出现安全事故时,透明、及时且详尽的信息披露与修复漏洞本身同样重要。
目前 Dashlane 尚未公布最终调查结果,也未说明攻击者使用何种具体手段触发了 2FA 请求——这在没有密码的情况下通常不可能发生,除非存在其他前置漏洞或钓鱼环节。行业分析人士呼吁 Dashlane 公开更多技术细节以帮助其他服务防范类似攻击。
本文参考来源:Ars Technica
名词解释与规格科普:
零知识架构(Zero-Knowledge Architecture):密码管理器的核心安全设计——服务提供商自身也无法解密用户存储的数据。加密和解密完全在用户设备本地完成,服务器仅存储密文。
端到端加密(E2EE):数据在发送端加密、接收端解密,中间传输和存储过程中始终保持密文状态的技术。即使服务器被攻破,攻击者也拿不到明文。
模糊安全通报(Blind Security Disclosure):安全事件发生后,企业在配合执法调查或内部取证期间,发不包含技术细节、受影响范围等敏感信息的中期公告,避免打草惊蛇或引发恐慌。
微信扫描下方的二维码阅读本文
