Dashlane 的安全性分析

信息安全 渗透测试 密码管理 风险分析
2021-09-04 13:11:01

一位用户询问我是否会推荐使用 Dashlane 密码管理器。我知道其他密码管理器存在一些重大的安全问题,包括 XSS 和 CSRF(见下文)。Dashlane 密码管理器是否容易受到这些问题的影响?有没有人对它进行过独立的安全分析,看看它是否存在这些问题?

例如,以下已发表的研究论文分析了五种流行的密码管理器(LastPass、RoboForm、My1login、Passwordbox 和 NeedMyPassword)的安全性,并在五种密码管理器中的四个中发现了安全漏洞:

这些漏洞的范围从普通的 XSS 和 CSRF 漏洞,到基于利用小书签的更隐蔽的攻击,以及它们可能与恶意 Javascript 一起在上下文中执行的事实。

但是,那篇论文没有分析 Dashlane 密码管理器,可能是因为它最近才开始受到关注并占据了重要的市场份额。

是否有任何公开的 Dashlane 密码管理器安全分析,例如,评估它是否容易受到此类漏洞的攻击,或任何其他资源或指导来帮助用户决定他们是否应该相信它是安全的?

3个回答

2016 年 5 月进行了安全分析:

该分析试图寻找与Li 等人大体相同类型的漏洞。问题中引用的论文。他们寻找 XSS 攻击,但没有找到。他们还能够绕过 Dashlane 的设备身份验证功能。总的来说,他们发现 Dashlane 非常安全。

他们分析了 Dashlane 版本 4.1.1。Dashlane 已更新至版本 4.6.8。

将您的密码存储在您无法控制的在线服务器上的任何内容都被视为不安全;您的整个密码收集没有正当理由离开您的家庭网络。

您的在线密码管理器服务(不仅适用于 Dashlane)使用的软件很可能是封闭源代码,您对其安全程序一无所知,也不知道您的密码是否真的加密或只是保存在passwords.txt文件中。

其次,他们的加密——让我们假设他们使用没有缺陷的行业标准加密,关键是你的密码用计算成本高的哈希进行哈希处理,以防止暴力破解……看起来不错,对吧?但是,如果流氓系统管理员、开发人员或攻击者获得了对服务器的访问权限怎么办?虽然他不能直接解密数据库,但他可以修改处理登录的代码以捕获您的密码并等待您登录。此外,您可能不是高调的目标,没有攻击者会浪费时间进行妥协您,但在这里,攻击者的目标是破坏整个密码管理器服务,以获取所有用户的通行证,而不仅仅是您。

然后是执法部门,他们几乎总是可以强迫公司披露你的密码;如果数据库是加密的,他们可能会使用上述方法并等待您登录。虽然大多数在线服务的密码没有多大价值,因为执法部门也可以强制他们披露您的数据,服务的密码在其他国家(洛杉矶无权)或您的服务器/加密驱动器对他们来说非常有价值。

现在将其与本地存储在可能加密的硬盘驱动器上的 Keepass 数据库进行比较,攻击者应该物理窃取机器(然后暴力破解最终的磁盘加密和数据库的密码),更改它(添加键盘记录器并等待您登录并解密通行数据库),或者远程破坏它,如果您不是高调的目标并且通常很困难,那么这不值得他花时间。

只有一把钥匙可以解锁您的加密数据。默认情况下,只有您拥有它。这就是我们如何确保即使黑客入侵了我们的服务器,也不会有任何东西可以将您的信息与您联系起来。

至少他们是这么说的。

其它你可能感兴趣的问题
上一篇SSH 代理转发是否存在任何风险? 下一篇bash shell 函数导入特性是否必然会引发提权问题?