Videó: 8 lessons on building a company people enjoy working for | The Way We Work, a TED series (November 2024)
Ha a Dropbox segítségével tárolja a fájljait, akkor emlékeztesse erre a hozzászólásra, hogy két tényezőjű hitelesítést kell használnia a felhőszolgáltatáshoz.
Egy ismeretlen személy hétfőn több száz felhasználónevet és jelszót tett közzé állítólag a Dropbox fiókokhoz a Pastebin szövegmegosztó oldalon. A Pastebin felhasználó szerint a minta egy apró töredéke annak a listának, amely 7 millió kompromittált Dropbox-fiókból áll.
"Az adományok beérkezésekor továbbra is többet fogunk nyilvánosságra hozni a közvélemény számára, mutassuk meg a támogatást" - mondta a jelszó kiírását kísérő Pastebin bejelentés.
A Dropbox nincs feltöltve
Abban az esetben, ha aggódik a fájlok és a képek ellopták, a Dropbox azt mondta, hogy nincs semmi baj.
"A dolgod biztonságos" - írta Anton Mityagin, a Dropbox biztonsági csapatának tagja egy blogbejegyzésben, amelyben kijelentette, hogy a Dropboxot nem támadták meg. "Az e cikkekben hivatkozott felhasználóneveket és jelszavakat nem kapcsolódó szolgáltatásokból, hanem a Dropboxból lopták el."
A felhőalapú szolgáltatás azt állítja, hogy a támadók kitörölték a felhasználónevek és jelszavak kombinációit más megsértett szolgáltatásokkal, majd megpróbálták bejelentkezni az interneten keresztül különböző helyekre, beleértve a Dropboxot. Mivel a jelszó újbóli felhasználása annak ellenére ismétlődő figyelmeztetések ellenére is rohamos, a támadók összeállíthattak egy fiók-hitelesítő adatok listáját.
Még ha magát a Dropboxot sem sértették meg, nem vannak-e veszélyben a fájljaim, mivel a számlám hitelesítő adatai feltárták? A Dropbox azt állította, hogy nem ez a helyzet, mivel rendszeresen figyeli az összes fiókot, hogy nyomon kövesse az ilyen típusú gyanús bejelentkezési tevékenységeket. A Dropbox azt is állította, hogy ellenőrizte a Pastebin-en közzétett listákat, és megerősítette, hogy nincsenek társítva a felhasználói fiókokhoz.
"Van intézkedéseink a gyanús bejelentkezési tevékenység észlelésére, és automatikusan alaphelyzetbe állítjuk a jelszavakat, amikor ez megtörténik" - írta Mityagin.
A jelszó újbóli használata nem megfelelő
Ha fiókja egyike a támadók által azonosítottnak, akkor a Dropbox valószínűleg megváltoztatta a jelszavait. Tehát mindenekelőtt hagyja abba a jelszavak újrafelhasználását a szolgáltatások között. Ne használja ugyanazt a jelszót, még akkor sem, ha úgy gondolja, hogy a fiókok nem tartalmaznak érzékeny információkat, és nem fontosak.
Sajnos, a felhasználói jelszavakkal kapcsolatos legutóbbi megsértések ellenére, úgy tűnik, hogy az emberek nem fognak utána. Troy Hunt, a HaveIBeenPwned.com mögötti biztonsági kutató azt mondta a SecurityWatchnek a múlt hónapban, hogy várakozásainak némi átfedése van a különféle adatsértésekből származó jelszólisták között. A HaveIBeenPwned adatbázisa több mint 30 webhely jelszólistáit tartalmazza, és lehetővé teszi a felhasználók számára, hogy ellenőrizzék, vannak-e számlák azok között, amelyek ki vannak téve.
"Csak annyira nem változtattuk meg a jelszavak szokásait, hogy elég nincsenek átfedések az adatmegsértések között" - mondta Hunt.
Két tényező most
Még ha nem ismételte meg a jelszavakat, fiókja még mindig érzékeny a brute-force támadásokra, főleg ha gyenge a jelszó. Érdemes megjegyezni, hogy még az erős és összetett jelszavakat is erőszakkal lehet kényszeríteni, különösen, ha a támadó elegendő számítási erőforrással, idővel és motivációval rendelkezik. Ezért kell bekapcsolnia a kétlépcsős azonosítást minden olyan szolgáltatásnál, amely azt kínálja. Szerencsére a Dropbox egyike ezeknek a szolgáltatásoknak, és meglehetősen könnyű beállítani.
"Az ilyen támadások az egyik oka annak, hogy erősen ösztönözzük a felhasználókat, hogy ne használják újra a jelszavakat a szolgáltatások között. A biztonság fokozása érdekében mindig javasoljuk, hogy engedélyezze a kétlépcsős azonosítást a fiókjában" - írta Mityagin.
A kétlépcsős azonosítás egyesíti a jelszavakat, vagy „valamit, amit tudsz” egy mobil eszközzel, vagy pedig „valamit, amivel rendelkezik”, hogy megakadályozza a csaló bejelentkezési kísérleteket. Ha engedélyezte a két tényezőt a Dropbox-fiókjában, akkor egy hatjegyű biztonsági kódot kap a mobiltelefonján, vagy a Google Authenticator alkalmazásból generált kódot kap. "Ha nem csak egy, hanem két lépéssel rendelkezik, akkor erősebb akadályt teremt a támadók ellen" - mondta Dropbox.
Javasoljuk egy jelszókezelő, például a LastPass használatát, hogy megkönnyítse az egyedi jelszavak előállítását, amelyek szintén összetettek. De bár lelassíthatják a támadókat, ők nem bolondok. A két tényezővel történő hitelesítés kevésbé kényelmes és lassú lehet, de érdemes külön erőfeszítést tenni, ha megakadályozza, hogy a támadók könnyen belépjenek a fiókjába.
