Eso significa que las posibilidades de que un atacante descifre una de las bóvedas cifradas que obtiene son muy pequeñas si la contraseña maestra es segura, es decir, larga, generada aleatoriamente y tiene una alta entropía. Sin embargo, no todo el mundo utiliza la contraseña maestra. Si la contraseña maestra se incluye en la lista de palabras intercambiadas por el descifrador de contraseñas, las posibilidades de éxito serán mayores, aunque poco probables.
En términos generales, el incidente guarda similitudes con la violación de LastPass de 2022, que también permitió a los atacantes obtener bóvedas de usuarios cifradas. Finalmente, los atacantes lograron obtener información descifrada de algunos de ellos. Este éxito se debió a dos cosas.
En primer lugar, ciertos campos, como las URL de sitios web, permanecen sin cifrar en la bóveda. Esto significa que un atacante puede leerla incluso sin una contraseña maestra. En segundo lugar, algunas de las cajas fuertes robadas utilizaban algoritmos obsoletos que no intensificaban lo suficiente el proceso de conversión de contraseñas de texto plano en hashes. Dashlane dice que no hay campos de usuario en la bóveda que no estén cifrados. Además, a medida que el algoritmo se fortalece periódicamente para tener en cuenta los avances en las capacidades de craqueo, el proceso ocurre automáticamente, sin necesidad de interacción. El proceso de actualización del algoritmo para la bóveda de LastPass en ese momento generó más fricción entre los usuarios.
La notificación inicial de Dashlane omitió detalles importantes del ataque y causó una gran confusión con respecto a los riesgos que enfrentaban los usuarios.
Como medida de precaución, tanto la contraseña maestra como el contenido de la bóveda de Dashlane recuperada deben cambiarse inmediatamente para reducir la posibilidad, por pequeña que sea, de que un atacante pueda comprometer con éxito la contraseña maestra. Los usuarios de Dashlane no afectados no necesitan realizar dicha acción.
