Dropbox: 2-Faktor-Authentifizierung jetzt final
von caschy | 14 Kommentare
Die 2-Faktor-Authentifizierung für Dropbox, die ich vor ein paar Tagen Schritt für Schritt beschrieb, ist in der Nacht von den Dropbox-Machern final freigeschaltet und damit aus dem Betastatus entlassen worden. Das Entstehen dieses zusätzlichen Sicherhheitsfaktors liegt an einem Fauxpas im eigenen Hause. Der Account eines Dropbox-Mitarbeiters wurde kompromittiert und eine Tabelle mit E-Mail-Adressen von Dropbox-Nutzern wurde entwendet. Die Kunden, darunter viele aus Deutschland, wurden daraufhin Opfer einer Spamwelle.
Die 2-Faktor-Authentifizierung sorgt dafür, dass neben dem Passwort ein Smartphone für den Zugriff benötigt wird, sofern man sich an fremden Geräten via Web einloggt. Eure lokalen Installationen auf euren Geräten brauchen nur ein einziges Mal authentifiziert werden. Ich selber hatte das alles auch direkt aktiviert, paar Minuten Sache. (via)
Wird geladen ...
Sehr feine Sache, habe Dropbox sofort mit dem Google Authenticator gekoppelt. Klappte einwandfrei und wird Schritt für Schritt erklärt.
Vor allem hat Dropbox hier recht schnell gehandelt!
Funktioniert mit dem Google Authenticator kinderleicht, einfach auf „Neues Konto hinzufügen“ gehen und anschließend „QR-Code scannen“ auswählen.
Fertig ist der Hacker-Schutz.
Mehr Sicherheit ist grundsätzlich gut. Meine persönliche Sicherheit erfordert aber, nicht jedem Webdienst meine Handynummer anzugeben. Eine App, die auf einem Siemens ME45 laufen würde, gibt es nicht, also kann ich das nicht umgehen. Und ein Smartphone kaufe ich mir *dafür* nicht.
Ein Dienst muss ohne Medienbrüche bedienbar sein, sonst taugt das nichts …
Für den Web-Login hätte ich mir lieber eine Lösung über OpenID gewünscht, dann bräuchte man da nicht ständig mit dem Telefon hantieren. Aber besser als nix is es allemal.
Die Überschrift täuscht ein wenig. Beta (=vorläufige Version) ist nicht final.
Tolle Sache, würde ich mir generell für mehr Dienste wünschen. Ich persönlich halte es für eine sehr sichere Angelegenheit – zumindest, wenn der Nutzer angemessene Vorkehrungen trifft (aber so ist es ja immer).
@Frank: Ich kann deinen Einwand nicht ganz nachvollziehen. Was verstehst du unter Medienbrüche? Du meinst, du willst alles auf einem Gerät bedienen können? Weil gerade die Tatsache, dass das bei der TFA eben nicht so gelöst ist, macht doch ihre Sicherheit aus. Mehr Sicherheit bedeutet eben immer generell auch mehr Aufwand für den „Versicherten“.
Ich zum Beispiel nutze die Möglichkeit wo immer ich sie finden kann, sei es nun bei Facebook, Online-Spielen oder eben auch absofort bei Dropbox. Die ganzen Codes kommen im Regelfall per SMS auf mein iPhone ohne Jailbreak – was ich für derartige Nutzung sogar noch etwas sicherer finde als ein Android-Gerät, aber darüber möchte ich hier nicht streiten. Ein „alter Knochen“, ganz ohne Apps und weiterem Schnick Schnack dürfte da auf jedenfall aber mindestens so sicher sein wie meine Lösung, wenn nicht mehr. Und eine zweite Nummer bzw. SIM-Karte in einem Uralt-Handy bekommt man doch im Prinzip schon für ein ganz paar Euro inklusive Gerät (falls man kein altes mehr herumliegen hat). Da hätte man dann auch nicht das Problem, seine aktiv genutzte Handy-Nummer angeben zu müssen.
Ich nutze auch den Google Authenticator.
Allerdings wäre eine zusätzlich Unterstützung für andere Tokengeneratoren wie z.B. den Yubikey, so wie das bei LastPass der Fall ist, auch ganz nett.
Hat vielleicht jemand einen Artikel wie der Google Authenticator funktioniert?
Bei SMS Codes ist es mir klar, aber bei diesen Phone-Codes nicht so sehr 😉
… und aktiviert. Tolle Sache. Hab das gleich mal zum Anlass genommen, es auch beim Google-Konto freizuschalten.
Danke für den Hinweis. Wird gleich scharfgeschaltet! 😉
Ja klar, dieser Frickelbude auch noch die Handynummer anvertrauen, wo schon E-Mail-Adressen abgängig sind? Das ist ja Feuer mit Feuer bekämpfen 🙂
Also ich bin enttäuscht… Ich nutze den SMS Code und wollte meine Computer als vertraute Geräte bei der Nutzung mit Firefox hinzufügen. Allerdings muss ich den Code dennoch immer wieder empfangen und eingeben. Da scheint wohl etwas mit dem Cookie nicht richtig zu funktionieren, denn weder bei Facebook, noch bei Google habe ich diese Art von Problem – sehr schade.
Ich bin übrigens gespannt, wann die Apps nachgezogen werden (Android und Windows), denn noch kann man diese Sicherheitsfunktion sehr einfach umgehen. Und hoffentlich wird das Update erzwungen, sonst hebe ich mir die alte Dropbox-APK auf, um immer wieder ohne Code herin zu kommen 🙂
hmmm..
also ich muss ehrlich sagen, was ich nicht wirklich weiss, wovon ihr alle redet. allerdings werde ich skeptisch, wenn hier alle „toll, hab ich sofort gemacht“ tippen und niemand hier über weitere mögliche sicherheitsrisiken schreibt, oder mal gegenbeispiele parat hat.
ich werde mich also mal auf die suche machen, was dieser google authenticator so ist und macht und warum ich schon wieder ein wichtiges privates nümmerchen von mir rausrücken soll…
Tolle Sache in einem Land, in dem immer noch die meisten Leute Mobilfunkverträge haben (und man eine ID bei prepaids vorlegen muss). Super jedenfalls für Datenverkäufer und Zielfahnder.