Dashlane 事件拆解：encrypted vault 畀人下載，風險喺邊？

圖片：via Ars Technica — https://arstechnica.com/security/2026/06/dashlane-explains-how-attackers-managed-to-download-encrypted-password-vaults/

TechLab 編輯部（譯）·2026-06-04

少過 20 個個人 vault 畀人下載，焦點係新裝置註冊。

Dashlane 呢單值得睇，因為佢打中 password manager 最敏感嗰一格：攻擊者喺 5 月 31 日開始，針對新裝置註冊流程大量撞 six-digit token，最後成功為少過 20 個個人 plan 帳戶註冊新裝置，下載咗 encrypted vault copy。Dashlane 話未見內部系統受影響，受 vault 風險影響嘅人已經直接收到通知。

攻擊點喺新裝置註冊

正常情況下，你喺新電腦或者手機加 Dashlane，系統會用註冊電郵發一次性 6 位數 token；如果你開咗 2FA，就用 authenticator app 產生嘅 6 位數 code。code 過咗，Dashlane 就會畀呢部裝置一條 device key，然後同步 encrypted vault。今次攻擊者針對 device registration API 大量自動化嘗試，Dashlane 嘅自動鎖帳保護有觸發，但喺完全擋低之前，仍然有少數 token 被撞中。

Dashlane 官方文件入面，新裝置用 email OTP 註冊嘅流程圖

圖片：Dashlane

encrypted vault 唔等於密碼見光

要講清楚：呢度冇證據顯示 vault 內容已經解密，亦唔係所有 Dashlane 用戶密碼外洩。Dashlane 文件講 vault 要靠 Master Password 喺本機解密，並用 Argon2、AES-256-CBC 同 HMAC-SHA256 做保護；Master Password 同相關 derivative 唔會以明文放喺 Dashlane server。不過 encrypted copy 一旦落咗攻擊者手，就可以離線慢慢撞，所以 Master Password 夠唔夠長、夠唔夠獨立，突然變成重點。

password manager 仲值唔值得用？

我唔會因為呢單就叫人返去用瀏覽器記密碼，或者一個密碼走天涯。Password manager 仍然係令每個網站用獨立強密碼嘅最實際工具，但今次提醒咗大家：集中管理密碼本身就係高價值目標，vendor 嘅註冊、同步、復原流程同樣要當成攻擊面。2022 年 LastPass vault backup 被偷之後，後續就見到弱 master password 同加密參數舊帳戶帶嚟長尾風險；Dashlane 呢次規模細好多，但教訓相近。

而家應該點查

直接開官方 Dashlane app 或網站，檢查 registered devices，見到唔識嘅即刻移除。
開 2FA；同時保護好註冊電郵，因為 email token 本身就可以成為新裝置入口。
Master Password 要長、獨立、唔重用；如果太短、似字典字、曾經喺其他地方用過，改咗佢。
如果收到 Dashlane 指明 vault risk 通知，或者懷疑自己被 phishing，高風險帳戶例如電郵、銀行、crypto、公司 VPN、雲端 admin 要優先改密碼。
公司 IT 要睇員工有冇收到鎖帳或 vault-risk 通知，順手檢查 SSO、MFA、離職帳戶同裝置註冊記錄。

Dashlane 話已經喺流量層同產品入面加保護，亦會為新裝置註冊加額外驗證。呢個方向合理，但最實在嘅評語係：6 位數 code 可以係一層門，但唔應該係高價值 vault copy 下載前最後嗰道門。

參考來源