在密码管理器Dashlane周一发布的安全警告中，有很多信息让人感到困惑，警告称攻击者成功获取了20个用户的加密保险库。该公司表示：“从2026年5月31日星期日开始，一个外部团体对某些Dashlane用户账户发起了暴力攻击。攻击的目的是破坏双因素认证（2FA）的保护，以便攻击者能在现有用户账户上注册新设备。”你好，Dashlane，是否有人在家？一位收到此类2FA请求的Dashlane用户提供了该通知的截图，该通知是在星期日到达的。这位位于英国的用户感到担忧，并通过支持机器人联系了Dashlane。最终，用户未获得关于该通知为什么被发送的信息。“然后我从Mastodon的信息安全上发现了这个消息，而不是Dashlane本身，”这位用户告诉我。“目前正在试图找出发生了什么！因为如果你没有先获得密码，怎么能触发2FA请求？作为一名付费客户，我认为我应该从Dashlane而不是Mastodon的信息安全团队那里了解到这一点。”社交媒体上的讨论充满了类似的评论，用户们同样不理解此次攻击的基本机制。通常，2FA保护的形式是由认证应用生成或通过短信或电子邮件发送的一次性密码。它们通常是六位数的，每隔大约45秒改变一次，尽管正如上面的通知所示，这个代码在三小时内仍然有效。暴力攻击是一种试错方法，快速提交所有可能的组合直到找到正确的那个。在这些假设下，将会有100万种可能的密码组合。一次成功的入侵需要在三小时的时间窗口内输入其中一个统计上显著比例的密码。虽然在如此短的时间内向Dashlane服务器轰炸这种数量的猜测所需的资源是可行的，但在通常的暴力攻击中并不常见。Dashlane并未明确表示限制用户可以提交的请求数量，尽管根据公告中的措辞，“由于用户账户的攻击尝试数量较高，Dashlane的安全控制自动锁定了受到攻击的账户”，因此这似乎是可能的。即使假设没有速率限制，想象Dashlane的服务器在接收每小时15万个或更多提交时至少暂时崩溃也是很困难的。