이는 마스터 비밀번호가 강력할 경우 공격자가 획득한 암호화된 저장소 중 하나를 해독할 가능성이 매우 적다는 것을 의미합니다. 즉, 길고 무작위로 생성되며 엔트로피가 높다는 의미입니다. 그러나 모든 사람이 이러한 마스터 비밀번호를 사용하는 것은 아닙니다. 비밀번호 크래커가 교환한 단어 목록에 마스터 비밀번호가 포함된 경우 성공 가능성은 더 높지만 여전히 가능성은 낮습니다.
광범위하게 말하면, 이 사건은 공격자가 암호화된 사용자 볼트를 획득할 수 있었던 2022년 LastPass 위반과 유사합니다. 결국 공격자들은 이들 중 일부로부터 해독된 정보를 얻는 데 성공했습니다. 성공은 두 가지의 결과였습니다.
첫째, 웹사이트 URL과 같은 특정 필드는 저장소에 암호화되지 않은 상태로 남아 있습니다. 이는 공격자가 마스터 비밀번호 없이도 이를 읽을 수 있다는 것을 의미했습니다. 둘째, 도난당한 볼트 중 일부는 일반 텍스트 비밀번호를 해시로 변환하는 프로세스를 적절하게 강화하지 못한 오래된 알고리즘을 사용했습니다. Dashlane은 저장소의 사용자 필드가 암호화되지 않은 경우가 없다고 말했습니다. 또한 크래킹 능력의 향상을 고려하여 알고리즘이 주기적으로 강화되면 상호 작용이 필요 없이 프로세스가 자동으로 발생합니다. 당시 LastPass 저장소의 알고리즘 업데이트 프로세스에는 사용자 마찰이 더 많았습니다.
Dashlane의 초기 알림에서는 공격에 대한 주요 세부 정보가 누락되어 사용자가 직면하고 있는 지속적인 위험에 대해 상당한 혼란을 초래했습니다.
많은 주의를 기울여, 마스터 암호와 복구된 Dashlane 저장소의 내용을 모두 즉시 변경하여 공격자가 마스터 암호를 해독하는 데 성공할 가능성을 줄여야 합니다. 영향을 받지 않은 Dashlane 사용자는 그러한 조치를 취할 필요가 없습니다.
이 주제에 대해 더 알고 싶다면 아래를 참고하세요