Video: Zwei-Faktor-Authentifizierung (2FA) | #Cybersicherheit (November 2024)
Wenn Sie Dropbox zum Speichern Ihrer Dateien verwenden, sollten Sie sich in diesem Beitrag daran erinnern, dass Sie für den Cloud-Dienst die Zwei-Faktor-Authentifizierung verwenden sollten.
Eine unbekannte Person hat am Montag Hunderte von Benutzernamen und Passwörtern, die angeblich zu Dropbox-Konten gehören, auf der Textfreigabeseite Pastebin veröffentlicht. Der Pastebin-Benutzer sagte, die Stichprobe sei ein winziger Bruchteil einer Liste, die aus bis zu 7 Millionen kompromittierten Dropbox-Konten bestehe.
"Wir werden weiterhin mehr für die Öffentlichkeit freigeben, sobald Spenden eingehen, um Ihre Unterstützung zu zeigen", heißt es in der Pastebin-Ankündigung, die dem Passwort-Dump beiliegt.
Dropbox nicht gehackt
Falls Sie besorgt sind, dass Ihre Dateien und Bilder gestohlen wurden, gibt es laut Dropbox keinen Grund zur Sorge.
"Ihre Sachen sind sicher", schrieb Anton Mityagin, ein Mitglied des Sicherheitsteams von Dropbox, in einem Blog-Post, in dem er behauptete, Dropbox sei nicht gehackt worden. "Die Benutzernamen und Kennwörter, auf die in diesen Artikeln verwiesen wird, wurden von unabhängigen Diensten gestohlen, nicht von Dropbox."
Der Cloud-Dienst behauptet, Angreifer hätten Kombinationen aus Benutzernamen und Passwort von anderen Diensten, die gegen die Richtlinien verstoßen, ausgesondert und dann versucht, sich bei verschiedenen Websites im Internet anzumelden, einschließlich Dropbox. Da die Wiederverwendung von Passwörtern trotz wiederholter Warnungen weit verbreitet ist, konnten Angreifer eine Liste mit Anmeldeinformationen für das Konto erstellen.
Sind meine Dateien nicht gefährdet, selbst wenn Dropbox selbst nicht verletzt wurde, da meine Kontoanmeldeinformationen offengelegt wurden? Dropbox behauptete, dies sei nicht der Fall, da es regelmäßig alle Konten überwacht, um diese verdächtigen Anmeldeaktivitäten zu verfolgen. Dropbox gab außerdem an, die in Pastebin veröffentlichten Listen überprüft und bestätigt zu haben, dass sie nicht mit Benutzerkonten verknüpft sind.
"Wir haben Maßnahmen ergriffen, um verdächtige Anmeldeaktivitäten zu erkennen, und setzen Passwörter automatisch zurück, wenn dies passiert", schrieb Mityagin.
Die erneute Verwendung des Passworts ist fehlerhaft
Wenn Ihr Konto eines ist, das die Angreifer identifiziert haben, hat Dropbox wahrscheinlich Ihre Passwörter geändert. Verwenden Sie Ihre Passwörter also nicht mehr dienstübergreifend. Verwenden Sie nicht dasselbe Kennwort, auch wenn Sie der Meinung sind, dass die Konten keine vertraulichen Informationen enthalten und nicht wichtig sind.
Leider scheinen die Leute trotz der jüngsten Verstöße gegen das Offenlegen von Benutzerkennwörtern nicht aufzufangen. Troy Hunt, der Sicherheitsforscher hinter HaveIBeenPwned.com, erklärte gegenüber SecurityWatch im letzten Monat, er erwarte einige Überschneidungen zwischen Passwortlisten aufgrund verschiedener Datenschutzverstöße. Die Datenbank von HaveIBeenPwned enthält Kennwortlisten von mehr als 30 Sites und ermöglicht es Benutzern, zu überprüfen, ob ihre Konten zu den offen gelegten Konten gehören.
"Wir haben nur die Passwortgewohnheiten nicht genug geändert", sagte Hunt, "dass es nicht zu Überschneidungen bei Datenschutzverletzungen kommt."
Zweifaktor jetzt
Auch wenn Sie Kennwörter nicht erneut verwendet haben, ist Ihr Konto dennoch anfällig für Brute-Force-Angriffe, insbesondere wenn das Kennwort schwach ist. Es ist auch erwähnenswert, dass selbst starke und komplexe Passwörter brutal erzwungen werden können, insbesondere wenn der Angreifer über ausreichende Rechenressourcen, Zeit und Motivation verfügt. Aus diesem Grund sollten Sie die Bestätigung in zwei Schritten für alle Dienste aktivieren, die sie anbieten. Glücklicherweise ist Dropbox einer dieser Dienste und es ist ziemlich einfach, ihn einzurichten.
"Angriffe wie diese sind einer der Gründe, weshalb wir den Benutzern dringend empfehlen, Kennwörter nicht dienstübergreifend wiederzuverwenden. Für eine zusätzliche Sicherheitsebene empfehlen wir immer, die Bestätigung in zwei Schritten für Ihr Konto zu aktivieren", schrieb Mityagin.
Bei der Bestätigung in zwei Schritten werden Kennwörter oder "etwas, das Sie wissen" mit einem mobilen Gerät oder "etwas, das Sie haben" kombiniert, um betrügerische Anmeldeversuche zu verhindern. Wenn Sie in Ihrem Dropbox-Konto die Zwei-Faktor-Funktion aktiviert haben, erhalten Sie auf Ihrem Mobiltelefon einen sechsstelligen Sicherheitscode oder einen Code, der von der Google Authenticator-App generiert wird. "Zwei Schritte anstelle von nur einem zu haben, schafft eine stärkere Barriere gegen Angreifer", sagte Dropbox.
Wir empfehlen die Verwendung eines Passwort-Managers wie LastPass, um die Generierung eindeutiger Passwörter zu vereinfachen, die auch komplex sind. Aber während sie Angreifer verlangsamen können, sind sie nicht narrensicher. Die Zwei-Faktor-Authentifizierung kann weniger bequem und langsam sein, aber es lohnt sich, sich zusätzliche Mühe zu geben, wenn Angreifer nicht leicht in Ihr Konto eindringen können.
