Video: Privacy, Security, Society - Computer Science for Business Leaders 2016 (Oktober 2024)
Hvis du bruker Dropbox til å lagre filene dine, kan du vurdere dette innlegget som en påminnelse om at du bør bruke tofaktorautentisering for skytjenesten.
En ukjent person la ut hundrevis av brukernavn og passord som angivelig tilhørte Dropbox-kontoer på tekstdelingsnettstedet Pastebin mandag. Pastebin-brukeren sa at utvalget var en liten brøkdel av en liste bestående av hele 7 millioner kompromitterte Dropbox-kontoer.
"Vi vil fortsette å gi ut mer for publikum når donasjoner kommer inn, vise din støtte, " heter det i kunngjøringen fra Pastebin som fulgte passorddumpen.
Dropbox ikke hacket
I tilfelle du er bekymret filene og bildene dine har blitt stjålet, sa Dropbox at det ikke er noe å bekymre seg for.
"Dine ting er trygge, " skrev Anton Mityagin, medlem av Dropboxs sikkerhetsteam, i et blogginnlegg med påstand om at Dropbox ikke hadde blitt hacket. "Brukernavnene og passordene som er referert til i disse artiklene ble stjålet fra ikke-relaterte tjenester, ikke fra Dropbox."
Skytjenesten hevder angripere trakk brukernavn og passordkombinasjoner fra andre brudd på tjenester og prøvde deretter å logge seg inn på forskjellige nettsteder over Internett, inkludert Dropbox. Siden gjenbruk av passord er utbredt til tross for gjentatte advarsler om ikke å gjøre det, kunne angripere sette sammen en liste med kontoopplysninger.
Selv om Dropbox i seg selv ikke ble brutt, er ikke filene mine utsatt for at jeg har blitt eksponert for kontooplysninger? Dropbox hevdet at det ikke var tilfelle ettersom den regelmessig overvåker alle kontoer for å spore denne typen mistenkelig påloggingsaktivitet. Dropbox hevdet også at den har sjekket listene lagt ut på Pastebin og bekreftet at de ikke er tilknyttet brukerkontoer.
"Vi har tiltak for å oppdage mistenkelig påloggingsaktivitet, og vi tilbakestiller automatisk passord når det skjer, " skrev Mityagin.
Bruk av passord er dårlig
Hvis kontoen din er en av de som angriperne har identifisert, har Dropbox sannsynligvis endret passordene dine. Så først av alt, slutte å bruke passordene dine på tvers av tjenester. Ikke bruk det samme passordet, selv om du tror at kontoene ikke inneholder sensitiv informasjon og ikke er viktig.
Til tross for nylig brudd som viser brukerpassord, ser det ikke ut til at folk fanger opp. Troy Hunt, sikkerhetsforskeren bak HaveIBeenPwned.com, fortalte SecurityWatch i forrige måned at han forventet noen overlapp mellom passordlister fra forskjellige datainnbrudd. HaveIBeenPwneds database inneholder passordlister fra mer enn 30 nettsteder og lar brukere sjekke om kontoene deres er blant de som er blitt eksponert.
"Vi har bare ikke endret passordvaner nok" til at det ikke vil være overlapp på tvers av datainnbrudd, sa Hunt.
To-faktor nå
Selv om du ikke har brukt passord på nytt, er kontoen din fortsatt sårbar for angrep med brute-force, spesielt hvis passordet er svakt. Det er også verdt å merke seg at selv sterke og komplekse passord kan være brute-tvunget, spesielt hvis angriperen har tilstrekkelige databehandlingsressurser, tid og motivasjon. Dette er grunnen til at du bør slå på totrinnsverifisering på alle tjenester som tilbyr den. Heldigvis for oss er Dropbox en av disse tjenestene, og det er ganske enkelt å konfigurere det.
"Angrep som disse er en av grunnene til at vi sterkt oppfordrer brukere til ikke å bruke passord på tvers av tjenester. For et ekstra lag med sikkerhet, anbefaler vi alltid å aktivere 2-trinns bekreftelse på kontoen din, " skrev Mityagin.
To-trinns bekreftelse kombinerer passord, eller "noe du vet, " med en mobil enhet, eller "noe du har, " for å forhindre falske påloggingsforsøk. Hvis du har aktivert tofaktor på Dropbox-kontoen din, vil du motta en sekssifret sikkerhetskode på mobiltelefonen din eller få en kode generert fra Google Authenticator-appen. "Å ha to trinn i stedet for bare ett skaper en sterkere barriere mot angripere, " sa Dropbox.
Vi anbefaler å bruke en passordbehandling som LastPass for å gjøre det enklere å generere unike passord som også er sammensatte. Men selv om de kan redusere angripere, er de ikke idiotsikre. To-faktor autentisering kan være mindre praktisk og treg, men det er verdt den ekstra innsatsen hvis det forhindrer angripere fra å enkelt bryte inn på kontoen din.
