现在我们知道，攻击者通过针对大量用户，增加了成功的机会。来源：Getty Images Dashlane 表示，攻击者针对其大量用户发起了协调的黑客攻击活动，试图恢复尽可能多的加密密码保险库。该密码管理提供商表示，在关闭该操作之前，下载的个人用户保险库不到 20 个。在一个从周日开始的活动中，未知的威胁行为者滥用了允许 Dashlane 用户将新设备（如计算机或手机）添加到其帐户中的机制。通过滥用 Dashlane 的设备注册编程接口，攻击者向大量现有用户的注册电子邮件地址发送请求。在周四发布的更新中，Dashlane 写道：威胁行为者针对设备注册的 API 端点，使用暴力破解攻击向这些端点发送大量自动请求。作为回应，Dashlane 的自动安全系统按预期工作，触发了目标帐户的自动锁定，以保护这些用户。在攻击完全缓解之前，威胁行为者能够暴力破解并生成少于 20 个个人计划客户的有效令牌，使他们能够在这些帐户上注册新设备并下载用户的加密保险库副本。 攻击的流程和策略 当用户在新设备上安装 Dashlane 应用并尝试将其注册到其现有帐户时，Dashlane 首先验证帐户持有者的身份。此验证是通过向用户的注册电子邮件地址发送一次性六位数令牌（或者对于已启用双重身份验证的用户，通过验证其身份验证应用生成的六位数字码）来完成的。为了使注册成功，用户必须将此代码输入 Dashlane 应用程序。在此时，Dashlane 将批准注册并将加密保险库的副本发送到该设备。保险库内容在用户输入主密码之前保持不可读状态，主密码作为解密密钥。正如 Dashlane 在其安全文档中解释的，一次性密码必须在新的注册设备上输入，才能使注册成功。对于单个帐户的暴力破解一次性代码——即尝试每一个可能的组合，直到输入正确的组合——即使在代码仍然有效的三小时窗口内，也不足为奇。由于有 100 万个可能的有效代码，攻击者必须在此期间循环遍历统计显著的比例。速率限制，即每个帐户允许的一定数量的请求，也会锁定帐户。为了提高成功机会，攻击者向大量帐户发送请求以注册新设备。然后，他们同时输入这些帐户中的一次性代码。理论上，攻击两个帐户可以使每次尝试的几率增加到 1/500,000。攻击 1,000 个帐户将几率增加到 1/1,000，依此类推。目标帐号越多，成功的机会就越大。密码喷射的经济学类似。该技术也削弱了速率限制，因为大量请求分散开来，限制了对任何单个帐户的请求次数。最后，Dashlane 表示，这次双重身份验证喷射攻击在关闭之前成功击中了少于 20 个用户帐户的正确组合。该公司表示，他们已联系了所有这些用户，任何尚未收到通知的用户并未受到影响。对于攻击者获取这些帐户的解密保险库内容，他们仍然需要破解主密码。Dashlane 通过使用一种称为 Argon2 的算法，使这一过程变得困难。该算法显著减慢并强化了将明文主密码转换为加密哈希的过程。因此，即使使用 GPU 或专用硬件进行破解，输入大量猜测也需要大量的时间和计算资源。这意味着如果主密码强大的话，攻击者解密他们获得的加密保险库的机会非常小，主密码应该长、随机生成且具有高熵。然而，并不是每个人都使用这样的主密码。如果主密码包含在密码破解者交换的词库中，成功的可能性会更高，尽管仍不太可能。广义上讲，这一事件与 2022 年 LastPass 违规事件类似，该事件也允许攻击者获取加密用户保险库。最终，攻击者成功获得了一些保险库的解密信息。成功的原因有两个。首先，某些字段，比如网站 URL，在保险库中保持未加密。这意味着攻击者可以读取它们，即使没有