Dashlane 解釋了攻擊者如何下載加密的密碼庫

這意味著，如果主密碼很強，即長、隨機生成且具有高熵，那麼攻擊者解密他們所獲得的加密保管庫之一的機會非常小。然而，並不是每個人都會使用這些主密碼。如果主密碼包含在密碼破解者交換的單字清單中，成功的機會會更高，儘管仍然不太可能。

整體而言，這起事件與 2022 年 LastPass 駭客攻擊有相似之處，這也使得攻擊者能夠取得加密的使用者保管庫。最終，攻擊者能夠從其中一些人那裡獲取解密資訊。成功是兩件事的結果。

首先，某些欄位（例如網站 URL）在保險庫中仍未加密。這意味著即使沒有主密碼，攻擊者也可以讀取它。其次，一些被盜的金庫使用了過時的演算法，這些演算法沒有充分壓縮將明文密碼轉換為雜湊值的過程。 Dashlane 表示，保險庫中的所有使用者欄位都未加密。此外，當演算法定期增強以適應駭客能力的進步時，該過程會自動發生，無需任何互動。當時 LastPass 金庫的演算法更新過程伴隨著用戶之間更多的摩擦。

Dashlane 的最初通知忽略了攻擊的基本細節，導致用戶對當前面臨的風險產生了極大的困惑。

出於謹慎考慮，應立即更改主密碼和任何恢復的 Dashlane 保管庫的內容，以減少攻擊者成功破解主密碼的機會（儘管可能性不大）。不受影響的 Dashlane 用戶無需採取任何此類操作。