对于托管安全服务提供商(MSSP)而言,在多个客户环
密码管理器是非常实用的安全工具之一,支持生成强密码并提供加密凭据存储。 但是,如今攻击者开始利用设备注册流程攻击密码管理器,该流程用于在新设备访问用户保管库前,对设备完成验证与批准。 通过暴力破解保护该环节的一次性密码 (OTP),攻击者可以注册未授权设备并下载加密保管库副本。
2026 年 5 月,Dashlane 就发生了此类事件:攻击者暴力破解了新设备注册所用的六位验证码,向不到 20 个账户添加未授权设备,并下载了这些用户的保管库副本。 加密本身从未被破解,漏洞出在新设备的批准机制上。 针对密码管理器设备注册的暴力破解攻击是日益严峻的网络威胁,但对 Keeper 的零信任、零知识架构无效,该架构确保仅凭密码永远无法注册设备并访问保管库。
针对设备注册的暴力破解攻击原理
当您向密码管理器添加新设备时,服务提供商必须确认设备归您所有,才能授权您访问保管库。 设备注册流程中的确认步骤,正是这类暴力破解攻击的目标。 为了了解为何 Dashlane 这类密码管理器易受此类攻击,而 Keeper® 等产品不受影响,需要了解此类攻击的典型运作方式:
- 系统发放验证码:向账户添加新设备后,服务端必须验证您的身份,通常通过邮件发送六位一次性密码 (OTP),或由身份验证应用生成。输入该验证码即可证明设备注册者为合法账户所有者。
- 端点遭受海量请求冲击:由于六位 OTP 仅有 1,000,000 种组合可能,攻击者可通过自动化请求大量涌入设备注册 API 端点。若端点未设置速率限制、验证码过期时限或单次尝试锁定规则,攻击者即可快速猜测取值,直至找到有效验证码。
- 猜中有效验证码:针对防护薄弱的端点进行多次尝试后,攻击者最终会猜中正确的验证码。由于验证码是用户身份的证明,攻击者的设备会被认定为合法设备。
- 设备完成注册:服务提供商授权新设备,并将用户的加密保管库同步至该设备。尽管保管库数据仍处于加密状态,但攻击者现已持有加密数据副本,可无限期尝试离线解密。
这一过程并非假设,Dashlane 遭遇的攻击就是这样发生的,因此保障设备注册流程的安全性与保护保管库同等重要。
为何未授权设备注册会带来风险
未经授权的设备注册会带来严重的安全风险,因为一旦新设备绑定密码管理器账户,就能访问用户保管库,并以经过身份验证的合法用户身份运行。 攻击者完全无需绕过、削弱或破解保管库的加密机制,即可实施此类暴力破解攻击。 攻击者只需获得服务提供商对其设备的信任,即可让加密保管库数据直接同步至其控制的硬件中。
攻击者持有用户加密保管库副本会造成深远的长期影响,因为攻击者可以按自己的节奏离线尝试破解,直至获得访问权限。 尽管强加密使得成功的可能性统计上较低,但成功的可能性很大程度上取决于用户可以控制的因素:主密码的强度。 长度充足、复杂且唯一的主密码可防止被盗取的保管库被破解,但强度较弱或重复使用的主密码,只要时间足够,被破解的几率会大幅提升。 保障设备注册流程的安全性至关重要,这样用户的保管库防护就不会完全依赖于主密码的强度。
Keeper 如何防范设备注册暴力破解攻击
使用 Keeper 的用户不会遭遇影响 Dashlane 的同类暴力破解攻击,因为 Keeper 确保仅仅获知用户密码或暴力破解出 OTP 并不足以完成新设备注册或访问保管库。
设备批准
使用 Keeper 时,每台新设备在访问保管库前,必须经过您的明确批准。 这种批准是独立的必要步骤,并非输入验证码后立即触发的操作。 对于个人用户,批准由账户所有者通过已受信设备完成;对于企业,管理员可代表合法用户批准新设备。 在此类攻击中,猜中有效 OTP 即可完成设备注册,但在使用 Keeper 时,不存在可通过暴力破解验证码来完成流程的单一 API 端点。
多因素身份验证 (MFA)
Keeper 支持多种多因素身份验证 (MFA),即双因素认证 (2FA) 方式,包括 FIDO2/WebAuthn 硬件安全密钥、生物识别、身份验证应用与短信。 然而,并非所有验证方式抵御暴力破解攻击的能力都相同。 通过电子邮件或短信发送的代码最易受到攻击,因为它们可能在传输过程中被猜中或截获。 身份验证应用的防护能力更强,验证码在用户设备本地生成,但仍依赖短时效的动态验证码,因此需要速率限制等管控措施来防范暴力破解尝试。 硬件安全密钥的防护等级最高,其依托加密质询响应认证机制,而非短验证码。 由于攻击者无法向 API 端点反复提交可预测的数值,针对设备注册的暴力破解攻击便无法生效。
零信任安全
Keeper 基于零信任安全模型构建,即无论网络位置或过往认证记录如何,每一项访问请求都必须经过验证。 使用 Keeper 时,设备不会仅仅因为已完成注册或验证就获得持续的隐含信任,每一项请求都会经过独立评估。 这种安全模型意味着,即便攻击者设法注册了一台设备,单次成功也无法获得持续访问权限。 在零信任框架下,攻击者无法利用设备注册机制获取永久访问权限。
高级报告和警报模块 (ARAM)
Keeper 的高级报告与警报模块 (ARAM) 可帮助管理员全面掌握环境内的可疑行为,包括认证异常与设备注册尝试。 在短时间内密集出现的验证尝试、大量失败的设备注册尝试,正是 ARAM 可以识别的事件类型。 全面掌握异常活动可让管理员快速响应,避免可疑行为在未授权设备完成注册后才被发现。
如需了解 Keeper 与 Dashlane 在设备批准、身份验证和加密架构上的更多对比信息,请访问 Keeper vs Dashlane 对比页面。
为什么 Keeper 的零知识架构至关重要
Keeper 的访问控制旨在阻止攻击者注册设备,而另一层防护进一步强化了安全性:零知识架构。 在实际应用中,零知识意味着用户保管库中存储的所有内容始终处于端到端加密状态,即便 Keeper 也无法解密。 由于加密密钥在用户设备上生成,数据的加密和解密也在本地完成,确保保管库完全由用户掌控。 即便攻击者设法获取了用户加密保管库的副本,也几乎无法破解,因为解锁 Keeper Vault 所需的加密密钥并不存在于 Keeper 的基础设施中。
使用 Keeper 保护您的数据免受暴力破解攻击
Dashlane 的安全事件证明,仅靠高强度的保管库加密远远不够。 随着攻击者的目标从破解加密保管库转向利用访问授权工作流,了解如何防范暴力破解攻击、保障设备注册与认证流程的安全至关重要。 密码管理器必须同时保护用户保管库,以及管理访问权限的流程。
LastPass 2022 年的数据泄露事件结果类似,但攻击路径不同:攻击者入侵了该公司的基础设施,窃取了加密保管库副本,而安全研究人员后续追踪发现,失窃原因是保管库防护薄弱。 Dashlane 和 LastPass 的两起事件均表明,一旦攻击者获取了用户加密保管库的访问权限,便可对其进行无限期破解,这凸显了使用安全密码管理器保护您数据的重要性。
Keeper 通过多重机制防御此类攻击:设备批准确保猜中的验证码无法单独注册新设备;多种多因素身份验证方式;零信任安全模型确保无设备被默认信任。 这些防护机制运行于零知识架构之上,确保加密密钥由用户掌控。
开始免费试用 Keeper,体验其分层安全机制如何保障您的保管库数据由仅您掌控的密钥加密。