
Dashlane 2FA 被 brute force:加密 vault 被下載但唔係明文外洩
少於 20 個個人帳戶受影響,重點係查裝置同 master password
Dashlane 今次唔係傳統意義上嘅「公司被入侵」。官方 status page 話,5 月 31 日有外部攻擊者針對部分用戶帳戶做 brute force,觸發大量登入同 2FA 嘗試,系統因此暫停咗受影響帳戶。到 6 月 1 日,Dashlane 表示冇證據顯示內部系統受影響;但後續披露就確認,少於 20 個個人 plan 用戶嘅加密 vault 副本已被下載。
加密 vault 同明文外洩係兩回事
最容易誤會嘅位係「vault 被下載」唔等於「明文密碼被偷」。Dashlane 嘅 vault 理論上要用 master password 衍生出嚟嘅 key 解密,官方安全文件亦寫明 master password 唔會以明文傳到 Dashlane,vault 係喺裝置本機解密。換句話講,攻擊者攞到嘅係一份加密資料;真正風險取決於受影響帳戶嘅 master password 夠唔夠長、夠唔夠獨特,以及每個 vault 嘅 key stretching 有幾多成本。
攻擊路徑更加值得留意。據 Dashlane 交代,攻擊目的係 brute force 2FA 保護,令攻擊者可以喺既有帳戶上註冊新裝置。TechCrunch 引述官方說法指,攻擊者可能用自動化軟件高速提交數字組合,趕喺一次性 code 過期前撞中。換言之,今次焦點唔係猜中 master password,而係先跨過「新裝置驗證」呢道閘;一旦新裝置被授權,就可以下載加密 vault,之後再嘗試離線破解。

圖片:Dashlane
點解細事件都值得睇
呢亦係點解事件規模細,但保安意義唔細。password manager 行業過去幾年反覆證明,最麻煩未必係即時明文外洩,而係加密 vault 副本一旦流出,就可以畀攻擊者慢慢離線嘗試。LastPass 2022 年事件規模同成因都同今次唔同:嗰次涉及備份資料被取走;Dashlane 今次官方講法係冇內部系統 compromise,受影響帳戶少於 20 個。兩件事唔應該混為一談,但共同提醒係:master password 唔可以當一般網站密碼咁處理。
要查嘅唔止密碼
如果你有用 Dashlane,第一步唔係恐慌式重設所有網站密碼,而係先查「有冇陌生裝置」。即刻做嘅檢查好簡單:
- 查註冊裝置:去帳戶設定檢視已註冊裝置,見到唔認得嘅就移除。
- 補強 2FA:確認 2FA 已啟用,最好用 authenticator app 或硬件 security key,唔好只靠容易被轉移嘅 SMS。
- 審視 master password:長度、獨特性同可猜性比複雜符號更重要;如果曾經喺其他地方用過、或者似生日加字母呢類組合,就應該換。
Dashlane 亦話已直接通知受影響用戶;The Hacker News 轉述官方 FAQ 指,冇收到「vault risk」特定訊息嘅帳戶,按官方講法就冇受今次 vault 下載影響。不過,事件初段有用戶收到帳戶暫停、陌生地點登入或驗證碼電郵,容易同 phishing 混淆。處理呢類通知時,唔好撳電郵入面嘅連結;直接去官方 app、瀏覽器 extension 或 status page 核對,先決定下一步。
對大部分 password manager 用家嚟講,呢單新聞嘅 takeaway 唔係「唔好用 password manager」。相反,重用密碼、將銀行同工作帳戶密碼散落 browser 同手機 notes,風險通常更高。比較成熟嘅做法係將 password manager 當成高價值帳戶:用獨一無二嘅 master password、強 2FA、定期清註冊裝置,並將網上銀行、電郵、雲端、GitHub、公司 SaaS 呢啲入口分批檢查。加密 vault 副本一旦出去,時間就站喺攻擊者嗰邊;你要做嘅係令佢冇咁易猜中。
參考來源
- Engadget — Dashlane says hackers stole password vaults via a 'brute force attack' — original report
- Dashlane Status Page — Investigating Unexpected Account Notifications and Login Issues — 官方事件 timeline,列出 5 月 31 日至 6 月 1 日更新同冇內部系統受影響說法
- Dashlane — Security at Dashlane — 官方安全說明,講 zero-knowledge、master password 唔喺 server 儲存同新裝置驗證
- Dashlane — Security Principles & Architecture — 技術背景,解釋本機解密、Device Key、Argon2d 同 key separation
- TechCrunch — Password manager Dashlane says hackers stole some customers’ password vaults — 保安角度補充 2FA brute force 手法、未知細節同 LastPass 行業脈絡
- The Hacker News — Dashlane Discloses Brute-Force Attack — 補充少於 20 個 personal plan 用戶、已通知受影響用戶同官方 FAQ 重點
- BleepingComputer — Dashlane password manager users locked out by brute force attacks — 記錄事件初段帳戶暫停、陌生登入要求同用戶混淆 phishing 嘅情況
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







