Dashlane 6 月 4 日披露了一起自动化攻击。攻击者没有直接拿到明文密码,也没有被证明破解了用户主密码。他们瞄准的是新设备注册流程,对大量账户尝试一次性六位验证码。\n\n最终,少于 20 个 Dashlane 个人计划用户的账户被成功注册了新设备。攻击者下载到的是这些账户的加密密码库,也就是加密 vault。Dashlane 称已逐一通知受影响用户。\n\n这件事的反常点不在于“密码管理器是不是整体失守”。更准确的看法是:单个账户猜六位码很难,但把尝试摊到大量账户上,风控压力会变形。\n\n主线就这一条:密库没有被直接打开,边门流程被批量试探。\n\n## 攻击打的是新设备注册,不是明文密码库\n\nDashlane 的新设备注册本来是正常功能。用户在新手机或新电脑上登录时,系统会要求输入一次性六位验证码。验证码通常发到注册邮箱;如果用户开启了双因素认证,则使用认证器 App 生成的六位码。\n\n验证通过后,新设备才能拿到一份加密 vault。vault 还需要主密码解密。\n\n攻击者滥用的正是这条链路。他们向大量已存在账户发起自动化请求,再并行尝试验证码。Dashlane 称,自动安全系统触发了账户锁定,但攻击仍在少于 20 个个人计划客户处成功生成有效 token,并下载了加密 vault。\n\n更像 password spraying,只是喷洒对象从常见密码换成了一次性验证码。\n\n| 问题 | Dashlane 本次事件 | 读者应理解的边界 |\n|---|---|---|\n| 攻击入口 | 新设备注册 API、一次性六位验证码 | 不是服务器直接泄露明文密码 |\n| 攻击方式 | 对大量账户分散尝试,类似 password spraying | 单账户限速会被摊薄 |\n| 被下载内容 | 少于 20 个加密 vault | 有离线破解风险,不等于已破解 |\n| 解密条件 | 仍依赖用户主密码 | 强主密码下破解概率较低 |\n\n这个边界很重要。攻击者拿到加密 vault 后,仍要猜中主密码,才可能读出里面的账户密码。Dashlane 称 vault 字段没有未加密内容,并使用 Argon2 强化主密码哈希。\n\nArgon2 的意义不是让破解不可能,而是让猜测更慢、更贵。主密码越长、越随机,攻击者离线破解的回报越低。\n\n## 和 LastPass 有相似处,但不能画等号\n\n密码管理器行业对“vault 被下载”四个字很敏感,原因绕不开 2022 年 LastPass 事件。当时攻击者获得了用户 vault 数据,部分信息后来被用于后续攻击。更麻烦的是,一些 URL 字段未加密,部分旧 vault 的密钥派生参数也不够强。\n\nDashlane 这次和 LastPass 的相似点,是攻击者拿到了加密库副本。差异也必须说清。\n\n| 对比点 | LastPass 事件中的关键问题 | Dashlane 本次披露 |\n|---|---|---|\n| 数据形态 | 攻击者获得用户 vault 数据 | 少于 20 个个人用户的加密 vault 被下载 |\n| 未加密字段 | 部分 URL 字段未加密 | Dashlane 称 vault 字段无未加密内容 |\n| 算法升级 | 部分旧 vault 参数较弱 | Dashlane 称算法强化会自动完成 |\n| 当前证据 | 后续出现过被利用的风险链条 | 目前没有证据显示主密码已被破解 |\n\n这不是替 Dashlane 降低问题严重性。加密 vault 一旦被下载,风险就会从“在线防守”转成“离线猜测”。攻击者可以在自己的机器上慢慢试,不再需要每次都撞 Dashlane 的登录风控。\n\n但差异会改变攻击成本。\n\n如果 vault 里没有未加密 URL,攻击者就少了判断高价值目标的线索。如果 Argon2 参数足够强,弱主密码仍危险,强主密码的安全边际会高很多。\n\n我不太买账的是把它直接说成“又一个 LastPass”。这个说法省事,但会遮住真正该看的地方:不是保险柜被撬开,而是发放新设备访问权的流程被批量试错。\n\n安全产品经常败在这种缝里。正门加固多年,边门一旦允许自动化请求跑起来,攻击者就会算经济账。\n\n## 用户和安全团队该怎么处理\n\nDashlane 称已通知所有受影响用户。没有收到通知的用户,不受此次事件影响。\n\n处理方式不该一刀切。受影响用户和未收到通知的用户,动作不同,成本也不同。\n\n| 对象 | 该做什么 | 不必做什么 |\n|---|---|---|\n| 已收到 Dashlane 通知的用户 | 立即更换 Dashlane 主密码;优先更换 vault 内的邮箱、银行、加密货币、企业系统、社交账号密码 | 不要只改一两个低价值网站就停下 |\n| 未收到通知的 Dashlane 用户 | 检查主密码是否足够长且随机;启用认证器 App 型双因素认证;确认注册邮箱没有复用密码 | 不必因这次事件立刻全网重置所有密码 |\n| 企业安全团队或采购负责人 | 询问供应商设备注册 API 的全局限速、异常挑战、验证码有效期、跨账户喷洒识别;短期内把采购或续约评估转向身份验证流程审查 | 不要只看“是否采用强加密算法”这一项 |\n\n对个人用户来说,主密码仍是最后一道门。它不该是常用句子,也不该和任何网站密码相似。更稳妥的做法是使用足够长、不可预测、只用于密码管理器的一组秘密。\n\n邮箱也要一起看。新设备验证码通常会碰到注册邮箱。如果邮箱密码复用,或者邮箱本身没有双因素认证,攻击面会变大。\n\n对企业管理员和安全团队来说,这次更像一次采购问题提醒。不要只问供应商“vault 怎么加密”,还要问“新设备怎么被允许加入”。\n\n接下来最该看的不是攻击者是否已经破解密码。现在没有证据支持这一点。\n\n更该看 Dashlane 会不会调整设备注册 API 的全局风控:跨账户请求速率、验证码有效期、异常注册挑战、账户锁定策略,以及对大规模喷洒行为的更早识别。\n\n少于 20 个账户不是大规模泄露。但它至少说明了一件事:攻击者不一定要攻破最厚的门,只要找到能批量试错的流程,风险就会被重新定价。