Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Sicherheit & Datenschutz 10.06.2026 · 4 min Lesezeit

Dashlane-Einbruch: Angreifer stehlen fast 20 verschlüsselte Passwort-Tresore via 2FA-Brute-Force

Angreifer nutzten eine Brute-Force-Attacke gegen Dashlanes Geräteregistrierungs-API, um TOTP-basierte Zwei-Faktor-Codes zu erraten und verschlüsselte Passwort-Tresore von weniger als 20 Personal-Plan-Nutzern herunterzuladen – ein Weckruf für MFA-Implementierungen.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Dashlane Breach Hero Visual mit aufgebrochenen Passwort-Tresoren und Cyberangriffs-Optik

Zwischen dem 31. Mai und dem 4. Juni 2026 haben unbekannte Angreifer die Zwei-Faktor-Authentifizierung des Passwortmanagers Dashlane per automatisierter Brute-Force-Attacke ausgehebelt und dabei verschlüsselte Passwort-Tresore von weniger als 20 Personal-Plan-Nutzern gestohlen. Der Vorfall zeigt exemplarisch, warum zeitbasierte Einmalpasswörter (TOTP) ohne rigoroses Rate-Limiting keinen ausreichenden Schutz bieten – und wie schnell selbst gut gemeinte Sicherheitsmaßnahmen zur Angriffsfläche werden können.

Was ist passiert?

Die Kriminellen richteten ihre Angriffe gezielt gegen Dashlanes Geräteregistrierungs-API. Diese Schnittstelle erlaubt es Nutzern, neue Geräte mit ihrem Konto zu verknüpfen – ein Vorgang, der durch einen sechsstelligen TOTP-Code abgesichert ist. Die Angreifer fluteten den Endpunkt mit automatisierten Anfragen und probierten systematisch mögliche Kombinationen durch, um gültige One-Time-Tokens zu erraten. Da das sechsstellige TOTP-Fenster lediglich eine Million mögliche Werte umfasst und Tokens typischerweise für 30 Sekunden gültig sind, ist ein erfolgreicher Treffer bei fehlendem Rate-Limiting statistisch in überschaubarer Zeit erreichbar.

Innerhalb weniger Tage gelang es den Angreifern, die 2FA für eine kleine Anzahl von Konten zu überwinden und neue Geräte zu registrieren. Über diese unbefugt registrierten Geräte luden sie anschließend die verschlüsselten Passwort-Vaults der betroffenen Nutzer herunter. Dashlanes eigene Serverinfrastruktur wurde dabei nicht kompromittiert; es handelt sich um einen Angriff auf die Authentifizierungsebene, nicht auf die Speichersysteme selbst.

Die gestohlenen Tresore sind mit modernen kryptografischen Verfahren gesichert: Schlüsselableitung via Argon2, Verschlüsselung mit AES-256-CBC und Integritätsschutz durch HMAC-SHA256. Ohne das Master-Passwort des jeweiligen Nutzers sind die Daten statistisch nicht entschlüsselbar – allerdings besteht für Nutzer mit einem schwachen Master-Passwort ein erhöhtes Restrisiko, da Offline-Brute-Force-Angriffe gegen die Vault möglich sind.

Bin ich betroffen?

Unmittelbar betroffen sind weniger als 20 Nutzer des Dashlane Personal Plan. Das Unternehmen hat alle direkt betroffenen Konten gesperrt und die Nutzer proaktiv benachrichtigt. Wer keine entsprechende Mitteilung von Dashlane erhalten hat, gehört nach aktuellem Stand nicht zu den betroffenen Konten.

Mittelbar betroffen ist jedoch ein deutlich größerer Personenkreis: Alle Dienste, die TOTP-basierte Zwei-Faktor-Authentifizierung ohne ausreichendes Rate-Limiting einsetzen, weisen dieselbe strukturelle Schwäche auf. Unternehmen, die eigene Webanwendungen oder APIs mit TOTP absichern, sollten ihre Implementierungen umgehend überprüfen.

Für die Beurteilung des eigenen Risikos gilt: Je einfacher und kürzer das Master-Passwort eines Dashlane-Kontos ist, desto größer ist das verbleibende Angriffspotenzial gegenüber der gestohlenen Vault – auch wenn die Daten verschlüsselt vorliegen.

Wie behebe ich das?

Betroffene Dashlane-Nutzer sollten unmittelbar folgende Schritte einleiten:

  1. Das Master-Passwort sofort in ein langes, zufälliges Passwort ändern – mindestens 20 Zeichen, keine Wörterbuchwörter.
  2. Alle in der Vault gespeicherten Passwörter als potenziell kompromittiert betrachten und systematisch erneuern, beginnend mit kritischen Zugängen wie E-Mail, Banking und Unternehmensanwendungen.
  3. Den zweiten Faktor auf FIDO2/Passkeys umstellen, sofern Dashlane dies für das eigene Konto anbietet – FIDO2 ist phishing-resistent und nicht per Brute-Force angreifbar.
  4. Alle noch autorisierten Geräte in den Kontoeinstellungen überprüfen und unbekannte Geräte entfernen.

Allgemeine Empfehlungen zum sicheren Umgang mit Passwörtern und der Einführung starker Mehr-Faktor-Authentifizierung fasst die s-edv.com-Anleitung Sichere Passwörter und Passkeys im Unternehmen zusammen. Wer 2FA in der eigenen Organisation einführen oder überarbeiten möchte, findet einen strukturierten Einstieg in der Anleitung Zwei-Faktor-Authentifizierung und MFA einführen.

Was bedeutet das für Unternehmen?

Der Dashlane-Vorfall ist kein isolierter Einzelfall, sondern ein Musterbeispiel für eine strukturelle Schwäche, die in vielen TOTP-Implementierungen schlummert. Ein sechsstelliger zeitbasierter Code bietet theoretisch eine Million mögliche Werte – praktisch jedoch deutlich weniger, da nur das aktuelle und unmittelbar benachbarte Zeitfenster akzeptiert werden. Fehlt ein konsequentes Rate-Limiting auf Seiten des Dienstes, wird TOTP zur lösbaren Rechenaufgabe.

Für IT-Verantwortliche ergibt sich daraus ein klarer Handlungsauftrag: Jede selbst betriebene Anwendung mit TOTP-basierter Authentifizierung muss auf Rate-Limiting, Account-Lockout-Mechanismen und Anomalie-Erkennung überprüft werden. Besonderes Augenmerk gilt Geräteregistrierungs- und Onboarding-Endpunkten, da diese häufig weniger streng abgesichert sind als Login-Endpunkte.

Mittelfristig empfiehlt sich die Migration zu FIDO2/Passkeys als zweitem Faktor. Im Gegensatz zu TOTP sind FIDO2-Token kryptografisch an eine spezifische Gegenstelle gebunden und können weder per Brute-Force erraten noch per Phishing abgegriffen werden. Für Organisationen, die Passwortmanager im Unternehmensumfeld einsetzen, stellt sich zudem die Frage nach der Vault-Segmentierung: Kritische Zugangsdaten sollten in separaten, besonders gesicherten Tresoren verwaltet werden.

Dashlane hat nach eigenen Angaben zusätzliche Schutzmaßnahmen auf Netzwerk- und Produktebene implementiert. Der Vorfall zeigt dennoch, dass selbst ein Anbieter mit technisch starken Verschlüsselungsverfahren durch Lücken in der Authentifizierungsebene verwundbar bleibt – ein Befund, der weit über Dashlane hinaus Gültigkeit hat.

Quellen

TechCrunch: Password manager Dashlane says hackers stole some customers' password vaults | Help Net Security: Attackers obtained encrypted password vaults from some Dashlane user accounts | heise online: Passwortmanager Dashlane – Angreifer kopieren fast 20 Passwort-Vaults

Verwandt

Weiter lesen

Alle Artikel →
Gebrochenes Sicherheitsschild über Serverraum als Symbol für Microsoft Defender Zero-Day-Schwachstellen
10.06.2026 ·3 min

Chrome Zero-Day CVE-2026-11645: 5. aktiv ausgenutzte V8-Lücke 2026 – sofort updaten

Google hat am 9. Juni 2026 ein Notfall-Update für Chrome veröffentlicht, das 74 Schwachstellen schließt – darunter den aktiv ausgenutzten Zero-Day CVE-2026-11645 in der V8-JavaScript-Engine. Es ist bereits der fünfte Chrome-Zero-Day des Jahres.
Illustration einer kritischen Check-Point-VPN-Sicherheitslücke mit Login- oder Remote-Access-Oberfläche, Warnsymbolen und roter Alarmmarkierung, die eine aktiv ausgenutzte Authentifizierungsumgehung seit Mai sowie den Bezug zu Qilin-Ransomware visualisier
09.06.2026 ·4 min

Check Point VPN: Kritische Authentifizierungsumgehung CVE-2026-50751 seit Mai aktiv ausgenutzt – Qilin-Ransomware involviert

Eine kritische Schwachstelle (CVE-2026-50751, CVSS 9.3) in Check Point Remote Access VPN erlaubt unauthentifizierten Angreifern, die Passwortprüfung vollständig zu umgehen. Aktive Ausnutzung läuft seit dem 7. Mai 2026 – mindestens ein Opfer wurde mit Qilin-Ransomware kompromittiert.
Illustration eines C0XMO-Botnets mit vielen kompromittierten Routern, die über rote Netzwerkverbindungen mit einem zentralen Steuergerät verbunden sind.
08.06.2026 ·4 min

C0XMO-Botnet befällt DD-WRT-Router und eliminiert Konkurrenz-Malware

Fortinet-Forscher haben eine neue Gafgyt-Variante namens C0XMO entdeckt, die über eine kritische Lücke in DD-WRT-Router-Firmware verbreitet wird – und kompromittierte Geräte aktiv von konkurrierender Botnet-Malware befreit, um Ressourcen exklusiv zu nutzen.