达什车道的安全分析

Question

一个用户问我是否建议使用Dashlane密码管理器。我知道其他密码管理器有一些重大的安全问题，包括XSS和CSRF (见下文)。Dashlane密码管理器易受这些问题的影响吗？有没有人对它做过独立的安全分析，看看它有哪些共同的问题？

例如，以下发表的研究论文分析了五个流行的密码管理器(LastPass、RoboForm、My1login、Passwordbox和NeedMyPassword)的安全性，并在其中四个中发现了安全漏洞：

• 皇帝的新密码管理器:基于的密码管理器的安全性分析。李志伟，何华伦，德瓦达塔·阿克哈韦，黎明之歌。Usenix安全研讨会，2014年。

这些漏洞范围很广，从花园XSS和CSRF漏洞到基于利用书签的更加模糊的攻击，以及它们可能与恶意Javascript一起在上下文中执行的事实。

然而，那篇论文并没有分析达什连密码管理器，也许是因为它最近才开始受到关注，并获得了可观的市场份额。

是否有任何公开可用的Dashlane密码管理器安全分析，例如，评估它是否易受这类漏洞的影响，或者有任何其他资源或指南来帮助用户决定是否应该相信它是安全的？

Answer 1

2016年5月进行了安全分析：

• Paolo Gentili，Sarah Shader，Richard叶，Brandon Zeng对Dashlane的安全性分析

该分析试图寻找与李氏( Li等人纸)在问题中提到的大致相同的漏洞类型。他们寻找XSS攻击，但没有发现任何攻击。他们还能够绕过达什莱恩的设备认证功能。总的来说，他们发现达什莱恩相当安全。

他们分析了Dashlane版本4.1.1。Dashlane已被更新为4.6.8版。

Answer 2

在您控制之外的在线服务器上存储密码的任何内容都将被视为不安全；您的整个密码集合没有离开您的家庭网络的正当理由。

您的在线密码管理器服务(不仅适用于Dashlane)使用的软件很可能是封闭的，您不知道它们的安全程序，也不知道您的密码是否真的加密了，或者仅仅停留在passwords.txt文件中。

第二，他们的加密-让我们假设他们使用的行业标准密码没有缺陷，密钥是你的密码哈希与计算昂贵的哈希，以防止蛮力.看上去很棒，对吧？但是，如果流氓系统管理员、开发人员或攻击者获得了对服务器的访问权限，该怎么办？虽然他不能直接解密数据库，但他可以修改处理登录的代码，以捕获您的密码并等待您登录。此外，您可能不是一个高调的目标，没有攻击者会浪费时间损害您，但是这里攻击者的目的是破坏整个密码管理器服务，以获得所有用户的通行证，而不仅仅是您。

然后是执法部门，他们几乎总是会强迫公司泄露你的密码；如果数据库是加密的，他们可能会使用上面提到的方法，等待你登录。虽然大多数在线服务的密码没有多大价值，因为执法部门也可以强迫他们披露你的数据，但在其他国家(洛杉矶没有权限)或你的服务器/加密驱动器的密码对他们来说非常有价值。

现在将其与本地存储在可能加密的硬盘驱动器上的Keepass数据库进行比较，在该硬盘驱动器中，攻击者应该物理地窃取机器(然后野蛮地执行最终的磁盘加密和数据库密码)、修改它(添加密钥记录器并等待您登录和解密pass DB)，或者远程破坏它，如果您不是高调目标，并且通常很困难，就不值得他花时间。

Answer 3

只有一个密钥可以解锁加密的数据。默认情况下，只有你拥有它。这就是我们如何确保即使黑客入侵了我们的服务器，也没有任何东西可以将你的信息与你联系在一起。

至少这就是他们说。