Dashlane 披露攻击者如何成功下载加密密码库

# Dashlane 解释攻击者如何成功下载加密密码库 来源：https://arstechnica.com/security/2026/06/dashlane-explains-how-attackers-managed-to-download-encrypted-password-vaults/ 通过针对大量用户发起攻击，攻击者提高了成功概率。 Dashlane 表示，攻击者对其大量用户展开了一场有组织的黑客攻击活动，企图尽可能多地获取加密密码库。这家密码管理器服务商表示，在其成功阻止此次攻击之前，已有不到 20 个个人用户的密码库被下载。 此次攻击活动于周日开始，身份不明的威胁行为者滥用了允许 Dashlane 用户向账户添加新设备（如电脑或手机）的机制。攻击者通过滥用 Dashlane 的设备注册编程接口，向大量现有用户的注册邮箱发送请求。Dashlane 于周四发布的[更新公告](https://support.dashlane.com/hc/en-us/articles/36038764990866-Security-advisory-Brute-force-attack-on-Dashlane-user-accounts#update-jun-4)中写道： > 威胁行为者针对设备注册 API 端点，对这些端点发送大量自动化请求，实施暴力破解攻击。对此，Dashlane 的自动化安全系统按预期运作，自动锁定了受攻击的账户以保护相关用户。在攻击被完全遏制之前，威胁行为者通过暴力破解成功为不到 20 名个人计划用户生成了有效令牌，从而得以在这些账户上注册新设备并下载用户加密密码库的副本。 ## 攻击流程与策略 当用户在新设备上安装 Dashlane 应用并尝试将其注册到现有账户时，Dashlane 会首先验证账户持有人的身份。验证方式是向用户的注册邮箱发送一个一次性六位数令牌（对于已启用双因素认证的用户，则是验证其认证应用生成的六位数代码）。 注册成功的前提是用户必须在 Dashlane 应用中输入该验证码。此时，Dashlane 将批准注册请求，并向该设备发送加密密码库的副本。在用户输入主密码（用作解密密钥）之前，密码库内容始终处于不可读状态。正如 Dashlane 在其[安全文档](https://support.dashlane.com/hc/articles/32877433567634#auth-flows)中所述，必须在新的注册设备上输入一次性密码，注册才能成功完成。 针对单一账户暴力破解一次性验证码——即逐一尝试所有可能的组合直到输入正确为止——几乎是徒劳无功之举，即便在验证码有效的三小时窗口内也是如此。由于存在 100 万种可能的有效验证码，攻击者需要在此期间遍历其中相当大的比例。此外，限速机制（即每个账户允许的请求次数有上限）也会将账户锁定。 为了提高成功率，攻击者向大量账户同时发送了注册新设备的请求，然后同时向每个账户输入一次性验证码。理论上，同时攻击两个账户可将每次尝试的成功概率提升至五十万分之一；攻击 1,000 个账户则可将概率提升至千分之一，以此类推。目标账户越多，其中某个账户被攻破的概率就越大。[密码喷洒攻击](https://www.crowdstrike.com/en-us/cybersecurity-101/cyberattacks/password-spraying/)的有效性原理与此类似。这种技术还能削弱限速机制的效果，因为大量尝试被分散到各个账户，减少了针对任意单一账户的请求次数。 据 Dashlane 表示，此次 2FA 喷洒攻击最终在被叫停之前，成功命中了不到 20 个用户账户的正确验证码组合。该公司表示已联系了所有受影响用户，凡是尚未收到通知的用户均未受到波及。 即便攻击者获得了这些账户的加密密码库，要获取解密后的内容，他们仍需破解主密码。Dashlane 采用一种名为 [Argon2](https://en.wikipedia.org/wiki/Argon2) 的算法，大幅增加了将明文主密码转换为加密哈希值的难度和耗时。因此，即使使用 GPU 或专用硬件进行破解，输入大量猜测所需的时间和计算资源也是极其巨大的。 这意味着，如果主密码足够强壮——即足够长、随机生成且具有高熵值——攻击者成功解密所获加密密码库的可能性极小。然而，并非所有人都使用这样的主密码。如果主密码出现在密码破解者交流的字典列表中，成功破解的概率会有所上升，尽管仍然不大。 从整体来看，此次事件与 [2022 年 LastPass 数据泄露事件](https://arstechnica.com/information-technology/2022/12/lastpass-says-hackers-have-obtained-vault-data-and-a-wealth-of-customer-info/)有相似之处，彼次事件同样导致攻击者获取了加密用户密码库。最终，攻击者成功从其中部分密码库中获取了解密信息，原因在于两点。 其一，密码库中某些字段（如网站 URL）未经加密，意味着攻击者无需主密码即可读取。其二，部分被盗密码库使用了过时的算法，未能充分增加明文密码转换为哈希值的难度。Dashlane 表示，其密码库中所有用户字段均经过加密。此外，当算法因应对破解能力的提升而定期强化时，该过程会自动完成，无需用户干预。而 LastPass 当时的密码库算法更新流程则需要更多用户操作。 Dashlane 最初发布的通知遗漏了攻击的关键细节，导致用户对自身面临的持续风险[产生了相当大的困惑](https://arstechnica.com/security/2026/06/dashlane-issues-opaque-advisory-warning-20-encrypted-vaults-were-stolen/)。 出于审慎考虑，受影响账户的主密码及所有已找回 Dashlane 密码库中的内容都应立即更改，以降低攻击者成功破解主密码的可能性，尽管这种可能性极小。未受影响的 Dashlane 用户无需采取任何此类操作。 [Dan Goodin 的照片](https://arstechnica.com/author/dan-goodin/) Dan Goodin 是 Ars Technica 的高级安全编辑，负责监管恶意软件、网络间谍活动、僵尸网络、硬件黑客、加密及密码等领域的报道。业余时间，他喜欢园艺、烹饪和关注独立音乐圈。Dan 常驻旧金山。可在 Mastodon 上[关注他](https://infosec.exchange/@dangoodin)，也可在 Bluesky 上[关注他](https://bsky.app/profile/dangoodin.bsky.social)。可通过 Signal（DanArs.82）与他联系。 [42 条评论](https://arstechnica.com/security/2026/06/dashlane-explains-how-attackers-managed-to-download-encrypted-password-vaults/#comments) 1. 最多阅读栏目第一篇文章配图：[Google 发布新款 Gemma 4 12B 模型，专为配备 16GB 内存的任意笔记本电脑运行而设计](https://arstechnica.com/google/2026/06/googles-new-gemma-4-open-ai-model-is-sized-for-your-laptop/)