有些公司讓你刮目相看,有些公司讓你搖頭嘆氣
那是個八月的午後⋯⋯
想像一下,你正坐在拉斯維加斯的會議廳裡,周圍都是全世界最厲害的駭客和資安專家。台上的捷克研究員 Marek Tóth 正準備揭露一個會讓數千萬人夜不能眠的發現。
這不是好萊塢電影情節,這是 2025 年 DEF CON 33 的真實場景。
當 Tóth 展示如何用一個簡單的點擊就能從主流密碼管理器中偷取資料時,現場一片靜默。然後,更有趣的事情發生了——這個技術發現意外地變成了一場「企業品格測驗」。
真正的安全領導者
Dashlane:超前部署的安全遠見
讓我先說說最讓人佩服的故事。
Dashlane 在 DEF CON 演示之前就已經修復了問題。
想想這意味著什麼:當其他公司還在等待公開披露才開始行動時,Dashlane 已經在 8 月 1 日發布了 v6.2531.1 修復版本。
這不是運氣,這是前瞻性的安全思維。
他們可能早就意識到這類攻擊的可能性,或者他們有更敏銳的安全監控系統,能夠提前發現潛在威脅。
這就是我們希望看到的專業水準。
Bitwarden:危機處理的教科書範例
Bitwarden 的表現同樣令人印象深刻,但方式不同。
當 Bitwarden 收到漏洞報告時,他們展現了完美的危機處理能力:
立刻承認問題的嚴重性
- 馬上組織技術團隊投入修復
- 在最短時間內發布 2025.8.0 修復版本
- 主動透明地與用戶溝通進度
如果說 Dashlane 展現的是「預防勝於治療」的智慧,那 Bitwarden 就是「快速反應、徹底解決」的典範。
這兩家公司共同證明了一件事:真正優秀的安全公司是什麼樣子的。
其他值得讚揚的公司
- NordPass、ProtonPass、RoboForm 也都迅速行動,證明了技術問題確實有解決方案。
- Keeper 在七月就發布了修復版本,顯示他們對用戶安全的高度重視。
這些公司有一個共同特質:當安全威脅出現時,他們的第一反應是保護用戶,而不是保護自己的名聲。
然後,有些回應讓人⋯⋯困惑
1Password:一個令人意外的故事
1Password 一直是我早期推薦給朋友的產品之一。優秀的介面設計,強大的功能,看起來很專業的團隊。
所以當我看到他們的回應時,說實話,我非常震驚因為我本身也是訂閱者。
他們將這個漏洞歸類為「資訊性」問題。
讓我翻譯一下:「這不是我們的錯,也不是我們要解決的問題。」
他們的 CISO 說:「點擊劫持是瀏覽器層面的根本問題,瀏覽器擴展程式無法單獨提供全面的技術修復。」
等等⋯⋯如果真的無法修復,那:
- Dashlane 是怎麼提前修復的?
- Bitwarden 是怎麼快速修復的?
- 其他公司又是怎麼修復的?
這就像蛋糕店老闆說:「我們的蛋糕有問題不是我們的問題,這是雞蛋和麵粉的問題。」然後隔壁所有的蛋糕店都做出了安全美味的蛋糕⋯⋯
當 Dashlane 和 Bitwarden 都能證明問題有解決方案時,1Password 的回應就顯得格外⋯⋯值得商榷。
LastPass:複雜的處境
LastPass 的情況比較複雜。他們承認了問題,也實施了一些保護措施,特別是對信用卡資料的額外確認機制。
但是,登入憑證和雙重認證代碼的保護仍然不完整。
我能理解他們可能面臨的技術挑戰,但作為用戶,我更關心的是:我的資料是否安全?
技術真的那麼難嗎?
只要稍微問一下一個在資安領域工作多年的專家,對方絕對可以告訴你:修復方案確實存在。
Dashlane 和 Bitwarden 的成功就是最好的證明。
這些成功修復的公司實施了:
- DOM 元素保護機制
- 點擊事件驗證系統
- UI 疊加檢測功能
- 強化的使用者確認流程
這不是魔法,這是工程技術。
當一家公司說「技術上不可能」的時候,特別是當其他公司已經證明可能的時候,通常意味著兩件事之一:
- 他們的技術實力不足以解決問題
- 他們不願意投入資源來解決問題
無論是哪一種,都讓人對這家公司的可信度產生質疑。
這對我們意味著什麼?
立即行動建議
如果你正在使用受影響的密碼管理器,這是你現在應該做的:
- 更新到最新版本(如果有修復的話)
- 暫時關閉自動填入功能,改用複製貼上
- 啟用所有可用的安全確認選項
考慮你的長期選擇
重新思考你的選擇
這次事件讓我重新思考了一個問題:我們應該支持什麼樣的公司?
- 像 Dashlane 這樣有前瞻性思維的公司?
- 像 Bitwarden 這樣快速回應的公司?
- 還是像某些公司那樣喜歡找藉口的?
作為消費者,我們的選擇會決定市場的方向。
如果我們繼續支持那些不負責任的公司,我們就是在告訴整個行業:「安全問題不重要,找藉口就夠了。」
但如果我們選擇 Dashlane、Bitwarden 這樣真正在乎用戶安全的公司,我們就是在推動整個行業變得更好。
一些個人思考
關於企業文化
這次事件最讓我感興趣的不是技術本身,而是不同公司展現出的企業文化差異。
- 頂尖的公司(如 Dashlane)會說:「我們要領先一步,在問題爆發前就解決它。」
- 優秀的公司(如 Bitwarden)會說:「這是我們的責任,我們來立刻解決它。」
- 平庸的公司會說:「這不是我們能控制的,客戶自己要小心。」
這種差異不只體現在安全問題上,也會體現在產品設計、客戶服務、創新能力等各個方面。
關於信任
在資安領域,信任是最寶貴的貨幣。
一旦失去,很難重建。
- 當 Dashlane 提前修復問題時,他們在說:「我們永遠走在威脅的前面。」
- 當 Bitwarden 快速修復問題時,他們在說:「你們的安全是我們的首要責任。」
- 當某家安全公司面對安全問題卻選擇推卸責任時,他們其實在告訴市場:「我們的承諾是有條件的。」
這樣的公司值得我們把最重要的數位資產託付給他們嗎?
寫在最後
這個故事還在繼續。
有些公司已經修復了問題,有些還在「考慮」中。有些公司贏得了更多用戶的信任,有些可能正在失去。
Dashlane 和 Bitwarden 已經用行動證明了他們的價值觀。
其他公司呢?
作為用戶,我們每個人的選擇都很重要。
我們可以選擇那些在困難時刻仍然堅守承諾的公司,也可以選擇那些總是為自己找藉口的公司。
但記住,你的選擇不只影響你自己的安全,也在塑造整個行業的未來。
我知道我會選擇誰。你呢?
如果你覺得這篇文章有用,請分享給你關心的人。在數位時代,我們都需要做出更明智的安全選擇。
想了解更多資安資訊?關注我,我會持續分享關於網路安全的觀察和思考。
附註: 本文基於 DEF CON 33 的公開研究報告和各廠商的官方回應。所有技術資訊都經過多方驗證。文中觀點代表作者個人立場,旨在促進對網路安全的理性討論。
