Dashlane 2FA 被 brute force:加密 vault 被下載但唔係明文外洩
Tech News

Dashlane 2FA 被 brute force:加密 vault 被下載但唔係明文外洩

圖片:via Engadget — https://www.engadget.com/2186075/dashlane-says-hackers-stole-password-vaults-via-a-brute-force-attack/
TechLab 編輯部(譯)·

少於 20 個個人帳戶受影響,重點係查裝置同 master password

Dashlane 今次唔係傳統意義上嘅「公司被入侵」。官方 status page 話,5 月 31 日有外部攻擊者針對部分用戶帳戶做 brute force,觸發大量登入同 2FA 嘗試,系統因此暫停咗受影響帳戶。到 6 月 1 日,Dashlane 表示冇證據顯示內部系統受影響;但後續披露就確認,少於 20 個個人 plan 用戶嘅加密 vault 副本已被下載。

加密 vault 同明文外洩係兩回事

最容易誤會嘅位係「vault 被下載」唔等於「明文密碼被偷」。Dashlane 嘅 vault 理論上要用 master password 衍生出嚟嘅 key 解密,官方安全文件亦寫明 master password 唔會以明文傳到 Dashlane,vault 係喺裝置本機解密。換句話講,攻擊者攞到嘅係一份加密資料;真正風險取決於受影響帳戶嘅 master password 夠唔夠長、夠唔夠獨特,以及每個 vault 嘅 key stretching 有幾多成本。

攻擊路徑更加值得留意。據 Dashlane 交代,攻擊目的係 brute force 2FA 保護,令攻擊者可以喺既有帳戶上註冊新裝置。TechCrunch 引述官方說法指,攻擊者可能用自動化軟件高速提交數字組合,趕喺一次性 code 過期前撞中。換言之,今次焦點唔係猜中 master password,而係先跨過「新裝置驗證」呢道閘;一旦新裝置被授權,就可以下載加密 vault,之後再嘗試離線破解。

Dashlane 官方個人 password manager 頁面嘅產品示意圖,一名用家喺 laptop 加入銀行登入資料

圖片:Dashlane

點解細事件都值得睇

呢亦係點解事件規模細,但保安意義唔細。password manager 行業過去幾年反覆證明,最麻煩未必係即時明文外洩,而係加密 vault 副本一旦流出,就可以畀攻擊者慢慢離線嘗試。LastPass 2022 年事件規模同成因都同今次唔同:嗰次涉及備份資料被取走;Dashlane 今次官方講法係冇內部系統 compromise,受影響帳戶少於 20 個。兩件事唔應該混為一談,但共同提醒係:master password 唔可以當一般網站密碼咁處理。

要查嘅唔止密碼

如果你有用 Dashlane,第一步唔係恐慌式重設所有網站密碼,而係先查「有冇陌生裝置」。即刻做嘅檢查好簡單:

  • 查註冊裝置:去帳戶設定檢視已註冊裝置,見到唔認得嘅就移除。
  • 補強 2FA:確認 2FA 已啟用,最好用 authenticator app 或硬件 security key,唔好只靠容易被轉移嘅 SMS。
  • 審視 master password:長度、獨特性同可猜性比複雜符號更重要;如果曾經喺其他地方用過、或者似生日加字母呢類組合,就應該換。

Dashlane 亦話已直接通知受影響用戶;The Hacker News 轉述官方 FAQ 指,冇收到「vault risk」特定訊息嘅帳戶,按官方講法就冇受今次 vault 下載影響。不過,事件初段有用戶收到帳戶暫停、陌生地點登入或驗證碼電郵,容易同 phishing 混淆。處理呢類通知時,唔好撳電郵入面嘅連結;直接去官方 app、瀏覽器 extension 或 status page 核對,先決定下一步。

對大部分 password manager 用家嚟講,呢單新聞嘅 takeaway 唔係「唔好用 password manager」。相反,重用密碼、將銀行同工作帳戶密碼散落 browser 同手機 notes,風險通常更高。比較成熟嘅做法係將 password manager 當成高價值帳戶:用獨一無二嘅 master password、強 2FA、定期清註冊裝置,並將網上銀行、電郵、雲端、GitHub、公司 SaaS 呢啲入口分批檢查。加密 vault 副本一旦出去,時間就站喺攻擊者嗰邊;你要做嘅係令佢冇咁易猜中。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook