Der Passwort-Manager Dashlane hat in dieser Woche bestätigt, dass eine unbekannte Bedrohungsgruppe zwischen dem 31. Mai 2026 eine massive Brute-Force-Attacke gegen seine Nutzerkonten durchführte. Ziel der Angreifer war es, die Zwei-Faktor-Authentifizierung zu knacken und neue Geräte auf bestehenden Konten zu registrieren, um so Zugriff auf die Passwort-Tresore zu erlangen.
Obwohl die genaue Anzahl der angegriffenen Konten unklar bleibt, war die Attacke massiv genug, dass Dashlanes eingebaute Sicherheitsmechanismen automatisch reagierten. Das System erkannte die ungewöhnlich hohe Menge von Anmeldeversuchen und sperrte die betroffenen Konten vorübergehend ab. Dies verursachte Authentifizierungsprobleme für die Nutzer, die jedoch mittlerweile behoben wurden.
In wenigen Fällen — Dashlane spricht von weniger als 20 Nutzern — waren die Angreifer tatsächlich erfolgreich. Diese Nutzer hatten ihre verschlüsselten Passwort-Tresore heruntergeladen. Das Unternehmen hat alle betroffenen Benutzer direkt benachrichtigt und betont, dass Nutzer ohne entsprechende Meldung von Dashlane nicht von dem Vorfall betroffen sind.
Ein wichtiger Punkt für die Sicherheit: Die heruntergeladenen Tresore sind ohne das Master-Passwort praktisch nutzlos. Dashlane versichert, dass ein starkes, einzigartiges und schwer zu errarendes Master-Passwort ein Knacken des Tresors unwahrscheinlich macht. Das Unternehmen betont auch, dass seine eigenen internen Systeme nicht kompromittiert wurden — nur Benutzerkonten waren Ziel der Attacke.
Dashlane empfiehlt allen Nutzern als Vorsichtsmaßnahme, ihre registrierten Geräte zu überprüfen und unbekannte Geräte zu entfernen. Zudem sollte die Zwei-Faktor-Authentifizierung aktiviert und ein starkes Master-Passwort verwendet werden. Für deutsche Unternehmen und Privatnutzer, die Dashlane einsetzen, ist dies ein wichtiger Anlass, ihre Sicherheitsmaßnahmen zu überprüfen und die Empfehlungen des BSI zur Nutzung von Passwort-Managern zu beachten.