In generale, abbiamo trovato Dashlane abbastanza sicuro contro tutti gli attacchi che abbiamo effettuato. Tutti i dati essenziali dell’utente sono criptati utilizzando AES-256 con una chiave che deriva dalla password principale dell’utente, e né la password principale né la chiave sono memorizzate localmente o sui server di Dashlane. Di conseguenza, la sicurezza di AES assicura che sia impossibile ottenere le informazioni sensibili di un utente senza conoscere la sua master password. Inoltre, anche con la conoscenza della master password di un utente, è difficile, anche se non impossibile, bypassare l’autenticazione del dispositivo di Dashlane per ottenere l’accesso al suo account.
Alla fine abbiamo trovato una vulnerabilità riguardante la funzione di condivisione dei diritti limitata di Dashlane, che consigliamo di rimuovere per evitare di dare agli utenti un senso di sicurezza che non esiste. Abbiamo anche scoperto diverse pratiche che potrebbero essere modificate per garantire una maggiore sicurezza, in particolare contro gli attacchi di forza bruta. Mentre abbiamo alcune idee per approcci futuri per attaccare Dashlane, non abbiamo scoperto alcuna vulnerabilità importante, che è un buon segno per un’app basata sulla sicurezza come Dashlane.
— Analisi della sicurezza di Dashlane (maggio 2016)