Dans l’ensemble, nous avons trouvé que Dashlane était assez sûr contre toutes les attaques que nous avons menées. Toutes les données essentielles des utilisateurs sont cryptées à l’aide d’AES-256 avec une clé qui dérive du mot de passe principal de l’utilisateur, et ni le mot de passe principal ni la clé ne sont stockés localement ou sur les serveurs de Dashlane. Par conséquent, la sécurité de l’AES garantit qu’il est impossible d’obtenir les informations sensibles d’un utilisateur sans connaître son mot de passe principal. En outre, même en connaissant le mot de passe principal d’un utilisateur, il est difficile – mais pas impossible – de contourner l’authentification de l’appareil de Dashlane pour accéder à son compte.
Nous avons finalement découvert une vulnérabilité concernant la fonction de partage de droits limitée de Dashlane, dont nous recommandons la suppression pour éviter de donner aux utilisateurs un sentiment de sécurité qui n’existe pas. Nous avons également découvert plusieurs pratiques qui pourraient être ajustées pour assurer une plus grande sécurité, en particulier contre les attaques par force brute. Bien que nous ayons quelques idées pour de futures approches pour attaquer Dashlane, nous n’avons pas découvert de vulnérabilités majeures, ce qui est un bon signe pour une application basée sur la sécurité comme Dashlane.
— Analyse de sécurité de Dashlane (mai 2016)