Dashlane解释攻击者如何下载加密密码库
TL;DR · AI 摘要
攻击者通过2FA喷射攻击滥用Dashlane设备注册API,在触发自动锁定前成功下载了不到20个加密密码库。该攻击利用大规模并发请求分散速率限制压力,将6位验证码的破解概率从百万分之一提升至千分之一,但获取数据后仍需破解Argon2哈希的主密码才能解密内容。
核心要点
- 攻击者滥用设备注册API进行2FA喷射,成功生成有效令牌并下载了少于20个用户的加密密码库。
- 通过同时针对1000个账户发起请求,攻击者将6位OTP的猜测成功率从1/1,000,000提升至1/1,000以绕过速率限制。
- Dashlane使用Argon2算法对主密码进行哈希处理,即使加密库被下载,暴力破解仍需极高算力成本。
结构提纲
按章节快速跳转。
思维导图
用一张图看清主题之间的关系。
查看大纲文本(无障碍 / 无 JS 友好)
- Dashlane 2FA Spraying Attack
- Attack Vector
- Device Enrollment API Abuse
- Distributed OTP Brute Force
- Defense Mechanisms
- Automated Account Lockout
- Argon2 Key Derivation
金句 / Highlights
值得收藏与分享的关键句。
攻击者针对设备注册API端点,使用暴力攻击向这些端点发送了大量自动化请求。
同时攻击1000个账户会将猜中概率提升至千分之一;目标账户越多成功率越高,同时削弱了速率限制效果。
Dashlane使用Argon2算法大幅减缓明文主密码转换为加密哈希的速度,使破解需要消耗巨大资源。
标题:Dashlane 详解攻击者如何成功下载加密密码库
URL 来源:https://arstechnica.com/security/2026/06/dashlane-explains-how-attackers-managed-to-download-encrypted-password-vaults/
发布时间:2026-06-04T20:02:04+00:00
Markdown 内容: 跳转至正文
真相大白
通过针对大量用户发起攻击,攻击者提高了成功的几率。
图片来源:Getty Images
Dashlane 表示,攻击者对其庞大的用户群发起了一场协同黑客攻击,试图尽可能多地获取加密密码库。该密码管理器提供商称,在其终止此次攻击行动之前,仅有不到 20 个个人用户的密码库被下载。
在这场始于周日的攻击活动中,身份不明的威胁行为者滥用了 Dashlane 允许用户向账户添加新设备(如电脑或手机)的机制。通过滥用 Dashlane 的设备注册编程接口,攻击者向大量现有用户的注册邮箱发送了请求。Dashlane 在周四发布的更新公告中写道:
威胁行为者针对设备注册的 API 端点发起了暴力破解攻击,向这些端点发送了大量自动化请求。
对此,Dashlane 的自动安全系统按预期运行,触发了对目标账户的自动锁定以保护用户。在攻击被完全缓解之前,威胁行为者成功对不到 20 名个人版客户的账户进行了暴力破解并生成了有效令牌,从而能够在这些账户上注册新设备并下载用户加密密码库的副本。
攻击流程与策略
当用户在新设备上安装 Dashlane 应用并尝试将其绑定到现有账户时,Dashlane 会首先验证账户持有者的身份。验证方式是通过向用户的注册邮箱发送一个六位数字的一次性令牌(对于已启用双因素认证的用户,则通过验证其身份验证器应用生成的六位代码来完成)。
要使注册成功,用户必须在 Dashlane 应用中输入此代码。此时,Dashlane 将批准注册并向该设备发送一份加密密码库的副本。在用户输入作为解密密钥的主密码之前,密码库内容始终处于不可读状态。正如 Dashlane 在其安全文档中所解释的,必须在正在注册的新设备上输入一次性密码,注册才能成功。
对单个账户的一次性代码进行暴力破解——即遍历所有可能的组合直到输入正确的代码——无异于痴人说梦,即便在代码有效的三小时窗口期内也是如此。由于存在 100 万个可能的有效代码,攻击者必须在该时间段内尝试具有统计学显著比例的代码量。此外,速率限制(即每个账户允许的请求数量上限)也会导致账户被锁定。
为了提高成功率,攻击者向大量账户发送了注册新设备的请求,然后同时在这些账户中输入一次性代码。从理论上讲,以这种方式攻击两个账户,会将每次尝试的成功率提高到五十万分之一。攻击 1,000 个账户会将概率提高到千分之一,依此类推。目标账户越多,其中某个账户被攻破的几率就越大。密码喷洒攻击的原理也与此类似。这种技术还能削弱速率限制的效果,因为大量的尝试被分散开来,限制了针对任何单一账户的请求数量。
据 Dashlane 称,在这次双因素认证(2FA)喷洒攻击被制止之前,攻击者最终成功猜中了不到 20 个用户账户的正确组合。该公司表示已联系了所有这些用户,未收到通知的用户均未受影响。
若要获取这些账户解密后的密码库内容,攻击者仍需破解主密码。Dashlane 采用了一种名为 Argon2 的算法,使得这一过程极为困难。该算法极大地减缓并增加了将明文主密码转换为加密哈希值的计算强度。因此,即使使用 GPU 或专用硬件进行破解,进行大规模猜测也需要耗费大量的时间和计算资源。
这意味着,如果主密码足够强(即长度长、随机生成且熵值高),攻击者解密其所获加密密码库的可能性微乎其微。然而,并非所有人都使用如此高强度的主密码。如果主密码包含在密码破解工具使用的常用密码字典中,攻击成功的几率会更高,尽管可能性依然不大。
总体而言,此次事件与 2022 年 LastPass 数据泄露事件有相似之处,后者同样导致攻击者获取了加密的用户密码库。最终,攻击者设法从中获取了部分解密信息。其得逞归因于两个因素。
首先,某些字段(如网站 URL)在密码库中并未加密。这意味着攻击者即使没有主密码也能读取这些信息。其次,部分被盗密码库使用了过时的算法,无法充分增加将明文密码转换为哈希值的计算强度。Dashlane 表示,其密码库中的所有用户字段均已加密。此外,当定期增强算法以应对破解能力的提升时,该过程会自动完成,无需用户进行任何操作。相比之下,当时 LastPass 密码库的算法更新流程则给用户带来了更多不便。
Dashlane 最初发布的通知遗漏了此次攻击的关键细节,导致用户对自身面临的持续风险感到极度困惑。
出于高度谨慎考虑,建议立即更改主密码以及所有已找回的 Dashlane 密码库中的内容,以降低攻击者成功破解主密码的可能性——尽管这种可能性极低。未受影响的 Dashlane 用户无需采取此类措施。
Dan Goodin 是 Ars Technica 的高级安全编辑,负责统筹恶意软件、网络间谍活动、僵尸网络、硬件黑客、加密技术及密码安全等领域的报道。业余时间,他喜欢园艺、烹饪,并关注独立音乐圈。Dan 现居旧金山。欢迎在 Mastodon 上点击此处关注他,或在 Bluesky 上点击此处关注。也可通过 Signal 联系他,账号为 DanArs.82。
[44 条评论](https://arstechnica.com/security/2026/06/dashlane-explains-how-attackers-managed-to-download-encrypted-password-vaults/#comments "44 条评论")
- 