Wenn der letzte Riegel wackelt: Was der Dashlane-Vorfall über Passwort-Manager verrät
Passwort-Manager gelten als der Goldstandard der digitalen Hygiene. Sie generieren komplexe Zeichenketten, speichern sie sicher und nehmen uns die Last ab, uns Dutzende Zugangsdaten merken zu müssen. Doch was passiert, wenn die Festung selbst ins Visier gerät? Genau diese Frage stellt sich aktuell der Passwort-Manager Dashlane. Das Unternehmen hat disclosed, dass ein externer Angreifer eine Brute-Force-Attacke gegen Nutzerkonten gestartet hat, um die Zwei-Faktor-Authentifizierung (2FA) zu überwinden.
Die Faktenlage: Was ist passiert?
Am 31. Mai 2026 begann ein unbekannter Akteur eine massive Brute-Force-Attacke gegen Dashlane-Nutzerkonten. Das Ziel war nicht primär das Auslesen der Passwörter im klassischen Sinne, sondern die Überwindung der 2FA-Protektion. Der Angreifer wollte offenbar neue Geräte auf bestehenden Konten registrieren, um so Zugriff auf die dort gespeicherten Daten zu erhalten.
Die integrierten Sicherheitsmechanismen von Dashlane schlugen bei der hohen Anzahl an Login-Versuchen an: Konten wurden temporär suspendiert, was bei einigen Nutzern zu Authentifizierungsproblemen führte. Dieser automatisierte Schutzmechanismus verhinderte Schlimmeres. Dennoch gelang es dem Angreifer in einer kleinen Anzahl von Fällen, die Sicherheitsbarrieren zu überwinden.
Dashlane gibt an, dass die verschlüsselten Vaults von weniger als 20 Nutzern mit einem persönlichen Abo-Plan (Personal Subscription) heruntergeladen wurden. Das Unternehmen hat diese Betroffenen direkt kontaktiert. Wer keine spezifische Benachrichtigung erhalten hat, ist laut Dashlane nicht betroffen. Die internen Systeme des Unternehmens selbst wurden nicht kompromittiert – der Angriff fand ausschließlich gegen Nutzerkonten statt.
Die entscheidende Frage: Wie sicher ist der Vault?
Der Umstand, dass verschlüsselte Vaults kopiert wurden, klingt zunächst alarmierend. Hier kommt jedoch das fundamentale Verschlüsselungsprinzip von Zero-Knowledge-Anbietern wie Dashlane zum Tragen: Die Daten im Vault sind mit dem Master-Passwort des Nutzers verschlüsselt. Dashlane selbst hat keinen Zugriff auf dieses Passwort und somit auch nicht auf die Klardaten im Vault.
Das bedeutet: Der Angreifer hat nun eine verschlüsselte Datei, die im Grunde nur ein digitaler Tresor ist, dessen Schlüssel verloren gegangen ist – vorausgesetzt, der Nutzer hat ein starkes Master-Passwort gewählt. Ist dieses kurz, simpel oder vorhersehbar (wie "Passwort123" oder der Name des Haustiers), wird ein Brute-Force-Angriff auf den Vault selbst über kurz oder lang erfolgreich sein. Ist es jedoch lang, komplex und einzigartig, sind die Daten selbst mit modernster Hardware praktisch nicht zu knacken.
Kritische Einordnung: Der Flaschenhals bleibt der Mensch
Dieser Vorfall illustriert einmal mehr das zentrale Paradoxon der IT-Sicherheit: Die stärkste Verschlüsselung ist nur so gut wie das schwächste Passwort, das sie schützt. Dashlanes Architektur hat hier genau das getan, was sie soll – sie hat die Daten der Nutzer auch dann noch geschützt, als der Angreifer bereits an den verschlüsselten Datenpaketen vorbeikam. Der Angriff auf die 2FA ist dabei ein klassisches Muster. 2FA ist ein mächtiger Schutzschild, aber wenn es durch Endlosschleifen von generierten Codes ausgetrickst werden kann, wird es zum Einfallstor.
Die Tatsache, dass weniger als 20 Konten betroffen sind, lässt darauf schließen, dass der Angreifer gezielt Konten mit schwachen 2FA-Implementierungen oder möglicherweise kompromittierten E-Mail-Konten ins Visier genommen haben könnte. Ein Brute-Force-Angriff auf 2FA ist laut und auffällig. Dass Dashlane die Accounts temporär gesperrt hat, zeigt, dass die Systeme funktionieren. Dass dennoch einige Vaults kopiert wurden, zeigt, dass Angreifer immer wieder Lücken finden.
Handlungsbedarf für Nutzer
Dashlane rät seinen Nutzern zu Recht, die registrierten Geräte zu überprüfen und unbekannte Geräte zu entfernen. Darüber hinaus ist die Aktivierung von 2FA – idealerweise mit einem Hardware-Key wie YubiKey statt einer SMS – ein Muss. Der wichtigste Schritt bleibt jedoch die Sicherstellung eines starken Master-Passworts. Es muss der stärkste Schlüssel in Ihrem digitalen Leben sein, denn es ist die letzte Verteidigungslinie, wenn alle anderen Mechanismen versagen.
Fazit
Der Vorfall bei Dashlane ist ein Warnschuss, aber kein Grund zur Panik. Die Zero-Knowledge-Architektur hat bewiesen, dass sie funktioniert. Die verschlüsselten Vaults bleiben unlesbar, solange das Master-Passwort stark ist. Dennoch mahnt der Vorfall zur Vorsicht: Passwort-Manager sind ein attraktives Ziel, und die Angriffsmethoden werden immer raffinierter. Wer seinen digitalen Schlüsselbund verwaltet, muss nicht nur die Software aktualisieren, sondern vor allem die eigene Passworthygiene ernst nehmen.
Quelle: The Hacker News