Dashlane发布模糊安全公告：20个加密密码库遭窃

密码管理器服务商Dashlane于近日发布了一份安全公告，称攻击者成功获取了20个已加密的用户密码库。然而，这份公告中存在诸多令人疑惑之处。

公告原文称："自2026年5月31日（周日）起，某外部攻击方对部分Dashlane用户账户发动了暴力破解攻击，目标是通过暴力手段绕过双因素认证（2FA）保护，从而在现有用户账户上注册新设备。"

一名位于英国的Dashlane用户在周日收到了一条2FA验证请求通知，截图显示该请求的有效期长达三小时。该用户感到困惑，随即通过官方支持机器人联系了Dashlane，但始终未能获得任何有效解释。

该用户表示："后来我是从Mastodon信息安全社区才得知这一消息的，而不是从Dashlane官方那里。作为付费用户，我认为应该第一时间由Dashlane通知我，而不是靠社区人士告知。此外，如果没有先获得密码，攻击者又怎么可能触发2FA请求呢？"

社交媒体上大量用户对此次攻击的技术逻辑表示不解。通常情况下，2FA验证码由身份验证应用生成，或通过短信、邮件发送，为六位数字，每45秒左右更新一次。若要对其实施暴力破解，共有100万种可能的组合，攻击者需要在三小时内完成其中相当大比例的尝试，这对技术资源要求极高，在常规暴力破解攻击中并不多见。

Dashlane方面并未明确表示是否对提交次数设置了频率限制，但公告中提到"由于账户遭受大量尝试，Dashlane的安全控制系统自动锁定了受攻击的账户"，这在一定程度上暗示可能存在频率限制机制。即便不存在此类限制，服务器在短时间内承受超过15万次请求而不出现拥塞也难以想象。

另一种可能是，Dashlane所指的"2FA"实为推送通知形式的验证方式。在这种机制下，攻击者在已获得账户密码的前提下，反复触发登录请求，向用户设备发送大量推送通知，利用"2FA疲劳攻击"手段，诱导用户在不耐烦之下点击批准按钮，从而完成验证。

还有一种可能是，攻击者利用了Dashlane允许用户注册新设备的功能，通过欺骗手段诱使用户批准将攻击者的设备加入其账户。

值得注意的是，无论采用哪种攻击路径，暴力破解2FA的前提都是第一重身份验证因素已被攻破。但对于第一重验证因素的性质及其被破解的方式，Dashlane在公告中只字未提。

Dashlane表示，已联系不足20名密码库遭窃的账户持有人。公司同时强调，在不知晓主解密密码的情况下（该密码Dashlane从不查看或存储），加密密码库的内容仍然安全。公告还指出："若您是Dashlane用户且未收到有关密码库风险的专项通知，则您的账户未受任何影响。"

然而，由于信息披露严重不足，这份公告留下的疑问远多于解答。自公告发布后，Dashlane已保持逾48小时的沉默，公司代表也未回应媒体的采访邮件。

Q&A

Q1：Dashlane此次安全事件中，攻击者是如何获取用户加密密码库的？

A：Dashlane公告称攻击者通过暴力破解2FA保护来注册新设备，进而获取了不足20个用户的加密密码库。但公告未说明攻击者如何突破第一重身份验证，也未披露第一重验证因素的具体性质，导致整个攻击链条存在明显的信息缺口，外界对此次攻击的完整技术过程仍不清楚。

Q2：Dashlane加密密码库被盗后，用户的密码等数据是否已经泄露？

A：目前来看，密码库内容暂时是安全的。Dashlane表示，加密密码库在没有主解密密码的情况下无法被读取，而该密码由用户本人掌握，Dashlane既不查看也不存储。因此，即使攻击者获取了加密密码库文件，在未知主密码的前提下也无法直接访问其中的内容。

Q3：Dashlane用户怎么判断自己的账户是否受到此次攻击影响？

A：Dashlane在公告中表示，受影响的账户持有人已被单独通知。如果用户未收到来自Dashlane的专项风险提示，则说明其账户未受影响。此外，若用户在2026年5月31日前后收到了异常的2FA验证请求通知，建议主动联系Dashlane官方客服进行核实，并检查账户中是否存在未经授权的设备注册记录。