Dashlane-Angriff: Hacker knackten 2FA-Codes per Brute-Force

Eine gezielte Cyberattacke auf den Passwort-Manager Dashlane hat Sicherheitslücken im Authentifizierungsprozess offengelegt. Betroffen sind weniger als 20 Nutzerkonten.

Der Angriff ereignete sich zwischen dem 31. Mai und dem 4. Juni 2026, wie das Unternehmen am Donnerstag mitteilte. Die Täter nutzten eine Brute-Force-Methode, um die sechsstelligen Zwei-Faktor-Authentifizierungscodes (2FA) zu erraten, die bei der Registrierung neuer Geräte zum Einsatz kommen.

Der Vorfall bei Dashlane zeigt, wie verwundbar klassische Login-Methoden trotz 2FA sein können. Erfahren Sie in diesem kostenlosen Report, wie Sie mit der neuen Passkey-Technologie Ihre Konten bei Amazon, Microsoft und WhatsApp ohne klassisches Passwort und damit deutlich sicherer schützen können. Was steckt hinter Passkeys – der Technologie, die Passwörter für immer ablösen soll?

Schwachstelle im Geräteregistrierungs-Prozess

Im Zentrum des Angriffs stand eine API-Schnittstelle für die Anmeldung neuer Endgeräte. Die Angreifer knackten durch wiederholtes Raten die 2FA-Codes und konnten so unbefugte Geräte mit bestehenden Konten verknüpfen. Nach erfolgreicher Registrierung luden sie die verschlüsselten Passwort-Tresore der betroffenen Accounts herunter.

Dashlane betonte, dass es sich nicht um eine klassische Software-Sicherheitslücke handele, sondern um eine Schwachstelle im Authentifizierungsablauf. Die interne Infrastruktur und die Kernsysteme des Unternehmens blieben während des gesamten Vorfalls unangetastet.

Verschlüsselung schützt Nutzerdaten

Obwohl die Angreifer verschlüsselte Daten abgreifen konnten, sehen Experten die Inhalte als sicher an. Dashlane setzt auf eine Zero-Knowledge-Architektur – das Unternehmen selbst hat keinen Zugriff auf die Master-Passwörter der Nutzer. Die Tresore sind mehrfach verschlüsselt, unter anderem mit Argon2, AES-256-CBC und HMAC-SHA256.

Ohne das individuelle Master-Passwort lassen sich die heruntergeladenen Daten nicht entschlüsseln. Branchenbeobachter sehen Parallelen zu einem prominenten Sicherheitsvorfall bei einem konkurrierenden Passwort-Manager im Jahr 2022, bei dem ebenfalls verschlüsselte Tresore ins Visier gerieten.

Angesichts von Millionen gehackter Konten pro Quartal wird das Risiko herkömmlicher Passwörter immer größer. Dieser Gratis-Ratgeber erklärt Ihnen die sichere Alternative, die Hackern durch biometrische Anmeldung keine Chance mehr lässt und Sie vor Datenklau schützt. Warum immer mehr Deutsche ihre Passwörter komplett abschaffen – jetzt gratis nachlesen

Sofortmaßnahmen und Schutzvorkehrungen

Nach der Entdeckung des unbefugten Zugriffs leitete Dashlane umgehend Schutzmaßnahmen ein. Das Unternehmen sperrte die betroffenen Accounts automatisch und kontaktierte die Nutzer direkt.

Um künftige Brute-Force-Angriffe auf die API-Schnittstellen zu verhindern, hat der Anbieter verbesserte Netzwerkschutzmaßnahmen implementiert. Zusätzliche Verifizierungsschritte bei der Geräteregistrierung wurden eingeführt, ebenso wie erweiterte Analyse-Tools zur Erkennung verdächtiger Anmeldemuster.

Sicherheitsexperten raten Nutzern, starke und einzigartige Master-Passwörter zu wählen sowie regelmäßig die angemeldeten Geräte in ihren Konten zu überprüfen. Dashlane hat weitere Sicherheitsvorkehrungen integriert, die automatisierte Rateversuche bei 2FA-Codes künftig unterbinden sollen.

de | wissenschaft | 69489340 |