Dropbox führt 2-Faktor-Authentifizierung ein

25. August 2012 Kategorie: Backup & Security, Internet, geschrieben von: caschy

Letztens gelangte Dropbox negativ in die Schlagzeilen, aufgrund dieser Tatsache kündigte man auch die Einführung der 2-Faktor-Authentifizierung an. Dieses Sicherheitsfeature hatte ich schon für LastPass, Google und Facebook beschrieben. Neben dem Passwort wird für den externen Zugriff auch das Smartphone benötigt. Die 2-Faktor-Authentifizierung liegt momentan für die experimentellen Versionen von Dropbox vor. So funktioniert es:

Forum Build 1.5.12 installieren, diese Seite besuchen - dort findet man nicht nur die verbundenen Geräte vor, sondern auch die Möglichkeit, die 2-Faktor-Authentifizierung zu aktivieren. Findet sich unten links.

Aktiviert man dies, so wird man gefragt, ob man den Sicherheitscode per SMS oder per App bekommen möchte.

Die App-Variante arbeitet mit dem Google Authenticator zusammen. Sofern man diesen installiert hat, scannt man den Barcode, um das Dropbox-Konto hinzuzufügen. Danach muss man, wenn man an fremden Rechnern ist, neben dem Passwort auch den Code eingeben, der von der Authenticator-App angezeigt wird.

Abschließend bekommt man noch einen Code, der im Verlustfalle des Smartphones notfalls Zugriff erlaubt, um die 2-Faktor-Authentifizierung von Dropbox zu aktivieren.

Ihr wollt das nun direkt selber ausprobieren? Hier ist die aktuelle Forum-Build, die ich oben erwähnte. Alle weiteren Fragen dürfte das Support-Center beantworten.

Windows: http://dl-web.dropbox.com/u/17/Dropbox%201.5.12.exe
Mac OS X: http://dl-web.dropbox.com/u/17/Dropbox%201.5.12.dmg
Linux x86_64: http://dl-web.dropbox.com/u/17/dropbox-lnx.x86_64-1.5.12.tar.gz
Linux x86: http://dl-web.dropbox.com/u/17/dropbox-lnx.x86-1.5.12.tar.gz


Vielen Dank für das Lesen dieses Blogs! Wenn ihr uns unterstützen wollt, dann schaut euch auch diese Advertorials an, die wir auf separaten Seiten geschaltet haben: Acer Iconia Tab 8 und HP Cashback Aktion. Danke, jeder Aufruf hilft uns.

Neueste Beiträge im Blog

Gefällt dir der Artikel?
Dann teile ihn mit deinen Freunden.
Nutze dafür einfach unsere Links:
Über den Autor: caschy

Hallo, ich bin Carsten! Dortmunder im Norden, Freund gepflegter Technik, BVB-Maniac und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin und YouTube.

Carsten hat bereits 16764 Artikel geschrieben.


36 Kommentare

Axel 25. August 2012 um 18:09 Uhr

Made my Day !!

john 25. August 2012 um 18:18 Uhr

Gute Sache wenn man sich öfters über PCs einloggt, über welche man nicht die volle Kontrolle hat (Keylogger, what ever im Hintergrund).

Da ich sowas aber nicht mache – wayne ;)

Tim 25. August 2012 um 18:41 Uhr

Ist es wirklich nötig das Forum Build zu installieren. Ich hab das aktivieren der 2-Faktor-Authentifizierung nämlich auch ohne geschafft…

Leif 25. August 2012 um 18:44 Uhr

Schöne Sache und ich bin super froh dass auch diese den Google Authenticator nutzen. Somit habe ich nun Google, Lastpass und Dropbox in einer App vereint.

masi 25. August 2012 um 18:48 Uhr

Als echter Sicherheits-Hypochonder hab ich’s direkt aktiviert. Herrlich.

Alex 25. August 2012 um 19:01 Uhr

@Tim: Wie konntest du es denn so aktivieren?

Tim 25. August 2012 um 19:09 Uhr

@Alex: Diesem Link (http://www.dropbox.com/try_twofactor) folgen, einloggen und neben “Two-step verification” auf “change” klicken.

Alex 25. August 2012 um 19:16 Uhr

In der Tat. Perfekt, vielen Dank! :)

Manu 25. August 2012 um 19:35 Uhr

Ähm, ja? Für reine PC-Nutzung ok, aber viele haben Dropbox ja auch auf dem Handy/Tablet, da bringt das nicht wirklich viel.

Multi-Factor-Authing ist gut und wichtig, aber dann doch bitte ordentlich.

caschy 25. August 2012 um 19:37 Uhr

@Manu: Die App muss auch 2 Faktor-mäßig freigeschaltet werden ;)

Al3x 25. August 2012 um 19:55 Uhr

Bloß blöd, wenn man vom Handy aus surft. Dann war’s das mit 2-Faktor…

Alex 25. August 2012 um 20:21 Uhr

So ganz verstehe ich das noch nicht.

Mit der App komme ich ganz normal rein, ohne etwas geändert zu haben. Auch auf dem PC habe ich nichts Neues installiert und es läuft noch.

Und hat das irgendwelche Auswirkungen auf Boxcryptor? Oo

Keule 25. August 2012 um 20:22 Uhr

Danke für den Hinweis. Hab gerade umgestellt.

TomTom77 25. August 2012 um 20:54 Uhr

Wenn man von unterwegs, von fremden PCs auf seine Daten zugreifen will, macht das sicher Sinn.
Aber meinen eigenen Rechnern vertraue ich, sodass hier eine einfache Authentifizierung per Passwort (welches eh im Browser-Passwortmanager steht) völlig ausreicht.
Ich will doch nicht bei jedem Login erstmal das Handy rauskramen und auf eine SMS warten.

caschy 25. August 2012 um 20:55 Uhr

Dein Heim-PC bleibt authentifiziert.

Darian 26. August 2012 um 00:29 Uhr

Ich soll einer Company, deren Service ich zugegeben ansprechend finde, die aber wegen nicht unerheblicher Sicherheitslücken aufgefallen ist, auch noch meine Handynummer geben? oO

Wenn also mein Account kompromittiert wird, dann so richtig?!
Da erscheint mir doch das bisherige System das kleinere Übel, im Schadensfall ist “nur” der Dropbox Account betroffen, so der Account und meine Mobilnummer.

Oder habe ich nur was falsch verstanden?
Bitte um *konstruktive* Aufklärung. :)

masi 26. August 2012 um 01:15 Uhr

@Al3x

Das funktioniert genau so wie googles 2 Faktor Auth. Die Auth wird nur beim einloggen benötigt. Meldet sich eine Anwendung an, muss man das zunächst mit dem zweiten Faktor bestätigen. Die Anwendung bekommt im Hintergrund dann ein eigenes Auth-Token zugewiesen welches sie dann für alle zukünftigen Anmeldungen nutzt. Sie nutzt, bei korrekter Implementierung, dann nicht mehr deinen Benutzernamen und dein Passwort. Je nach Implementierung ist dieses Token
dann an ein bestimmtes Gerät / Anwendung gekoppelt und kann nur mit dieser genutzt werden.
Theoretisch wäre die einzige Schwachstelle die mir dabei einfällt, dass jemand die Daten welche zur Identifizierung des Geräts / der Anwendung genutzt werden emuliert, das Token vom Endgerät stibitzt und sich damit dann einloggt. Möglich, ja – aber wesentlich aufwendiger als ohne 2-Faktor Auth.

Zudem: wenn du davon aus gehst dass dein System kompromittiert ist, dann ist sowieso jeder Schutz dahin. Selbst OTPs bringen dann nichts mehr.

@Darian

Dropbox bietet die SMS Auth an – als Service. Du kannst aber auch (wesentlich bequemer) eine entsprechende Auth App nutzen – z.b. den “Google Authenticator”. Im Gegensatz zur allgemeinen Annahme ist dieser nämlich nicht nur für Googles 2-Faktor-Auth. Er kann auch z.b. Mit Lastpass oder mit einem selbst betriebenen 2-Faktor-Auth Dienst genutzt werden (RC-Devs haben sowas zum beispiel mit dem OpenOTP Server in der Mache…). Dropbox erhält dann keine Telefonnummer von dir und du hast trotzdem 2-Faktor-Auth.

Lennart 26. August 2012 um 04:23 Uhr

Super Sache, direkt aktiviert!

Hermann 26. August 2012 um 10:48 Uhr

@masi Leider funktioniert bei mir die Authentifizierung mittels Goggle Authenticator nicht. Habe das Prozedere mehfach durchgeführt, aber die generierte Nummer wurde seitens Dropbox immer als falsch zurückgewiesen. Den angezeigten QR-Code habe ich über die App einscannen lassen – hat soweit auch alles gut funktioniert. Bis zum Passwort.

Mache ich da etwas falsch? Hast das bei Dir funktioniert?

Robin 26. August 2012 um 10:54 Uhr

Wo ich noch Verständnislücke habe…auch bei dergleichen bei Google:

Wird der PC authentifiziert, dann wird dort ein Cookie gespeichert ???

Wenn ich nun täglich die Cookies lösche, dann muss ich also jedes mal wieder per Smartphone den PC authentifizieren?

HCL 26. August 2012 um 12:28 Uhr

@Robin
Ja. Jedes Mal wenn ich die Cookies lösche, muss ich mich per Bestätigungscode neu authentifizieren bei Google. Dropbox habe ich noch nicht getestet.

Michael 26. August 2012 um 13:10 Uhr

@Hermann: Wenn die Uhrzeit auf dem Smartphone nicht exakt passt, dann stimmen die Codes natürlich auch nicht! (Hatte übrigens genau dasselbe Problem ;-)

Robin 26. August 2012 um 13:55 Uhr

@HCL
Danke Dir.
Ist also nichts für mich, schliesslich löscht mein Browser alle Cookies beim Schliessen.
Also mehrmals täglich alles neu anfordern und eintippen ist wirklich keine Option…

Tino 26. August 2012 um 14:37 Uhr

Funktioniert problemlos mit dem Browser. Kann es aber sein, dass schon angemeldete Clients keine weitere Authentisierung benötigen, z.B. mein 1.4.x´er Client unter Windows?

Hermann 26. August 2012 um 16:17 Uhr

@Michael Vielen Dank für den Tipp. Da muss man erst einmal drauf kommen. Die Uhrzeit wird aber doch automatisch bezogen. Wie hast Du das gelöst? Laut meiner Funkuhr passt die Zeit auf dem Handy. Google konnte ich mit der gleichen App problemlos bedienen. Merkwürdig das :-)

Masi 26. August 2012 um 20:15 Uhr

Das generierte otp ist zeit basiert. Sowohl uhrzeit als auch zeitzone müssen stimmen. @ robin dafür gibt es ja die desktop anwendung. Kenne sonst niemanden der dropbox regulär überd den browser nutzt und selbst da gibt es ja ausnahmeregeln fur das löschen von cookies.

Al3x 28. August 2012 um 20:04 Uhr

@masi

Ich hatte mir das so vorgestellt, dass man eine TAN auf Handy bekommt, mit der dann eine Session von einer IP gültig ist bzw. die Änderung bestimmter Einstellungen (wie die E-Mail-Adresse) bestätigen muss.

Deshalb dachte ich, dass wenn man das auf dem Handy macht, auf das die TAN gesendet wird, 2Factor einfach unwirksam ist, wenn das Handy kompromittiert ist.


Deine Meinung ist uns wichtig...

Kommentar verfassen

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich eine Zusammenstellung.