Dashlane 密碼管理工具遭黑客攻擊，約 20 用戶雙重認證被暴力破解

網絡安全快訊：Dashlane 密碼管理工具遭黑客攻擊，約 20 用戶雙重認證被暴力破解

知名密碼管理工具 Dashlane 最近發生一宗網絡安全事件，官方證實黑客喺週末期間發動攻擊，成功取得至少 20 名客戶嘅加密密碼庫。呢次事件揭示咗雙重認證（2FA）喺面對特定攻擊時嘅潛在漏洞，引起網絡安全界嘅關注。

事件重點：黑客如何繞過雙重認證？

Dashlane 喺官方網站指出，黑客利用自動化軟件發動「暴力破解」（Brute-force）。佢哋喺雙重認證安全碼失效之前嘅短時間內，快速向系統輸入所有可能嘅數字組合。最終黑客成功估中準確嘅安全碼，並將新裝置註冊落現有用戶嘅帳號入面。

成功突破防線之後，黑客下載咗部分客戶嘅加密密碼庫，呢啲密碼庫儲存住用戶嘅各項密碼同埋敏感登入憑證。雖然 Dashlane 強調目前無證據顯示公司內部核心系統遭到入侵，而且已經採取相應措施去減低未來發生同類事件嘅風險，但官方暫時未有詳細解釋點解黑客能夠輕易攻破 2FA 防線而未被系統封鎖。

用戶影響：主密碼強度成最後防線

目前 Dashlane 已經通知咗受影響嘅大約 20 名用戶。被盜取嘅密碼庫檔案屬於高度加密狀態，必須要用客戶自己設定嘅主密碼（Master Password）先可以解鎖讀取。由於 Dashlane 系統唔會以明文形式儲存主密碼，所以黑客理論上無法直接從官方伺服器取得。

不過，官方特別提醒，如果受影響用戶設定嘅主密碼過於簡單或者容易被估中，相關密碼庫被成功解密嘅風險就會大幅增加。暫時未知呢批受害者係咪因為特定職業或者身份而成為攻擊目標，Dashlane 方面亦無透露黑客有無提出任何勒索要求。

過往案例比較：密碼管理工具安全隱憂

雖然密碼管理公司發生資料外洩嘅情況比較少見，但後果往往十分嚴重。網絡安全業界亦曾經發生過類似嘅重大事故：

• LastPass (2022年)： 客戶嘅密碼庫備份喺網絡攻擊中被盜。當時因為早期客戶嘅主密碼複雜度要求較低，令黑客可以輕易利用暴力破解估中部分用戶嘅密碼。事後更加有多宗報告指出，黑客利用被破解嘅密碼庫入面嘅私鑰，盜取咗客戶大量加密貨幣。
• Passwordstate (2021年)： 澳洲軟件公司 Click Studios 旗下嘅密碼管理工具遭到入侵，黑客攻破更新機制並植入惡意軟件，導致所有客戶需要重設登入憑證。

總結：實用安全建議

呢次 Dashlane 事件反映出，即使有雙重認證保護，系統依然存在被自動化程式攻擊嘅風險。對於一般香港用戶嚟講，使用密碼管理工具依然係一個相對有效嘅密碼集中管理方式，但首要條件係必須設定一組足夠長、具備高度複雜性而且無規律嘅主密碼。定期檢視帳戶安全設定，避免喺唔同平台重用密碼，先可以喺突發嘅保安事故中，最大程度保障自己嘅數碼資產。