지난 5월 31일, 한 해커 그룹이 Dashlane의 2단계 인증을 우회하여 20명 미만의 사용자 암호화 볼트에 접근했습니다. 저장된 비밀번호는 암호화로 보호되지만, 실제 위험은 마스터 키가 약할 때 발생합니다. 공격자는 시간 제한 없이 이를 해독하려 시도할 수 있습니다. 비밀번호 관리자의 보안은 거의 전적으로 그 하나의 비밀번호에 달려 있습니다.
공격 작동 방식과 지금 확인해야 할 사항 🔐
문제는 볼트의 암호화가 아니라, 사회 공학 기술이나 세션 악용을 통해 강제로 뚫린 다중 인증에 있습니다. 일단 침입하면, 공격자는 볼트를 복사하여 마스터 키에 대한 오프라인 무차별 대입 공격을 실행할 수 있습니다. Dashlane은 이미 영향을 받은 사용자에게 알렸으며 계정에서 승인된 기기를 확인할 것을 권장합니다. 마스터 키가 짧거나 흔하다면, 이를 해독하는 시간이 급격히 줄어듭니다.
호화로운 암호화지만, 매점 자물쇠 수준의 보안 🔑
마치 티타늄 금고에 플라스틱 자물쇠를 단 것과 같습니다. 비밀번호 암호화는 견고하지만, 마스터 키가 123456이라면 해커들은 커피를 마시며 느긋하게 이를 풀 수 있습니다. Dashlane은 보안을 자랑하지만, 결국 모든 것은 생일이나 애완동물 이름을 사용하지 않는지에 달려 있습니다. 해당 키를 변경하지 않으면 비밀번호 관리자는 예쁜 디지털 장식품에 불과해집니다.