無法理解 Dashlane 金庫失竊通知？你並不孤單。

密碼管理器 Dashlane 週一發布的安全公告中有太多內容需要補充，警告攻擊者能夠取得 20 個加密的使用者保管庫。

該公司表示：“截至 2026 年 5 月 31 日星期日，第三方對某些 Dashlane 用戶帳戶發起了暴力攻擊。” “攻擊的目的是強制執行雙因素身份驗證 (2FA) 保護，以允許攻擊者在現有用戶帳戶上註冊新設備。”

你好，達什蘭，有人在家嗎？

收到此雙重認證請求的 Dashlane 用戶提供了周日收到的通知的螢幕截圖。

這位英國用戶對此表示擔憂，並透過支援機器人聯繫了 Dashlane。最終，用戶沒有得到任何關於通知發送原因的資訊。

「然後（我）從 Mastodon infosec 而不是 Dashlane 本身發現了這個消息，」該用戶告訴我。 「我目前正在試圖弄清楚發生了什麼！因為如果你沒有先獲得密碼，你怎麼能觸發 2fa 請求呢？作為付費客戶，我認為我應該從 Dashlane 而不是 Mastodon infosec 那裡發現這一點。”

社群媒體上的數十次討論充滿了來自用戶的類似評論，他們也不了解這種攻擊的基本機制。 2FA 保護通常採用由身份驗證應用程式產生或透過簡訊或電子郵件發送的一次性密碼的形式。它們通常為六位數字，每 45 秒左右更改一次，但正如上面的通知所示，該代碼在三個小時內仍然有效。

蠻力是一種反覆試驗的方法，可以快速發送每種可能的組合，直到達到正確的組合。在這些假設下，將有一百萬種可能的密碼。成功的駭客攻擊需要在三小時內輸入具有統計意義的百分比。

雖然在如此短的時間內用如此大量的猜測轟炸 Dashlane 伺服器所需的資源是可能的，但在典型的暴力攻擊中並不常見。 Dashlane 沒有明確表示它對用戶可以提交的數量設置了速率限制，儘管這似乎是基於公告中的語言：「由於對用戶帳戶的大量嘗試，Dashlane 安全性會自動鎖定已成為攻擊目標的帳戶。」即使假設沒有速率限制，也很難想像 Dashlane 的伺服器在一個小時左右收到 150,000 份或更多提交時不會至少暫時受到限制。