Dropbox: Neue Features, woher der Spam kam und warum ihr eure Passwörter ändern müsst
von caschy | 40 Kommentare
Es ist nicht lange her, da beklagten viele deutsche Benutzer von Dropbox ein erhöhtes Spamaufkommen. Dropbox sah sich logischerweise in die Verantwortung genommen und musste dahingehend Ermittlungen anstellen. Nun die Auflösung, die fassungslos machen könnte. Tatsache ist, dass viele Dienste in der letzten Zeit Einbrüche erlitten und Passwörter gestohlen wurden.
Einige dieser Accounts wurden doppelt genutzt, heißt: Benutzer waren zum Beispiel mit dem gleiche Passwort bei Linkedin angemeldet und bei Dropbox. Durch diese Tatsache wurden einige Dropbox-Konten kompromittiert, darunter das eines Dropbox-Mitarbeiters, der ein unverschlüsseltes Dokument mit E-Mail-Adressen der Kunden in seiner Dropbox aufbewahrte.
Aus Sicherheitsgründen sollten viele Benutzer eine Mail bekommen haben, die darüber informiert, dass sie ihr Passwort ändern müssen. Wenn ihr nicht mehr via Web in euer Dropbox-Konto kommt, dann schaut in euer Postfach, in der Dropbox-Mail verbirgt sich ein Link, der euch zu der Seite führt, auf der ihr euer Passwort ändert. Tut euch wirklich einen Gefallen und nutzt etwas anderes als bei 10 anderen Diensten, man sieht ja, was passieren kann. Der Grund für die erzwungene Änderung? Zitat: „Recently, passwords have been stolen from some Internet services. This is a problem because many people use the same password on multiple services, which is unsafe. As a precaution, we’ve reset your password and you can create a new one“
Aus diesen Gründen wird Dropbox eine Two-factor authentication einführen, diese „doppelte Anmeldesicherheit“ bringen auch Dienste wie Google mit, was das ist und wie das funktioniert, steht hier beschrieben. So müsstet ihr, sofern ihr euch an fremden Rechnern in euer Dropbox-Konto einloggt, erst einmal einen Code eingeben, der euch zum Beispiel auf euer Smartphone gesendet wird.
Der Spaß ist wirklich sicherer und muss nur einmalig eingerichtet werden, da man in den meisten Fällen vertraute Rechner und Geräte bestimmen kann, die ohne diese zusätzliche Hürde auskommen dürfen. Weiterhin bekommt Dropbox einen Aktivitäts-Tab – in diesem wird angezeigt, welches Gerät von wo zugegriffen hat.
Und die Moral von der Geschicht? Traue unverschlüsselten Daten in der Cloud nicht!
Spaß beiseite. Ich schreibe euch mal meine persönlichen Regeln auf:
1. Lasse keine sensiblen Daten unverschlüsselt ins Netz
2. Nutze, sofern angeboten, Two-factor authentication
3. Minimiere Cloud-Abhängigkeit und -Nutzung
Wird geladen ...
jaja, die leute mit dem datenschutz. ein ehemaliger kommilitone arbeitete bei dem größten newsletterversender und hatte auch immer brav die daten auf USB stick dabei, die die leute selbst in etliche newsletter und online gewinnspiele eingetragen haben.
datenschutz steht manchmal nur in den AGB
Dabei sind sichere und verschiedene Passwörter garnicht mal schwer zu merken.
Bsp.: Superstarkespasswortvon_DeinName_für_Dienstname_
sowas sollte sich jeder merken können und das Passwort ist bombensicher und quasi unknackbar.
Bei mir kam zwar keine Meldung, trotzdem vorsichtshalber Mailadresse und Passwort geändert.
Leider verstehe ich die Gesamtsituation noch nicht. In der Überschrift steht, dass Passwörter geändert werden müssen, im Text wird das auf diejenigen eingeschränkt, die das gleiche Passwort wie bei LinkedIn verwenden. Dann ist da jedoch die Liste gefunden worden.
Ich verwende derzeit bei Dropbox ein individuelles, recht starkes Passwort. Muss ich nun davon ausgehen, dass dieses auch jemandem bekannt ist?
@nektus: Das hat aber einen Nachteil: Wird auch nur ein Passwort bekannt und das Schema dadurch sichtbar, kann man auch die Passwörter anderer Dienste erraten.
Danke für die Info, habe zwar keine Mail erhalten aber trotzdem mal Passwort geändert.
Hi, das ist ein ernsthaftes Thema mit dem ich mich schon lange beschäftige – die guten Passwörter. Ein Passwortsystem ist auch nur so gut, wie man von einem Passw. nicht auf das eines anderen Dienstes schließen kann. „Superstarkespasswortvon_DeinName_für_Dienstname_“ dürft da nicht so der Knaller sein 😉 Bleibt aber immer noch die Hoffnung das keiner der genutzten Dienste die Passwortdaten irgendwo im Klartext ablegt und zumindest ordentlich „hashed“.
Also ich weiß nicht kann mir meine Passwörter nie merken aber wozu gibt es Keepassx oder ähnliches. Ein besonderes Passwort sollte sich jeder merken können und den Rest einfach generieren lassen. Nutze dies seid Jahren auf Windows Linux Smartphone und bis auf einen Einbruch bei PayPal noch nie ein Problem gehabt.
G Phoenyx
N-Rico, da steht ganz klar „zum Beispiel“ 😉 Last.fm war auch betroffen und und und.
Der 3. Punkt ist wohl der wichtigste.
@Matze: Zitat: Weiterhin bekommt Dropbox einen Aktivitäts-Tab – in diesem wird angezeigt, welches Gerät von wo zugegriffen hat.
@nektus
So ein System ist auch nicht optimal, denn mal angenommen ein Dienst speichert die Kennwörter im Klartext (kommt leider auch heute noch vor) und dessen DB wird kompromittiert – in so einem Fall kann man recht einfach auf Deine Passwörter bei anderen Diensten schließen.
==ZITAT BEGINN==
Spaß beiseite. Ich schreibe euch mal meine persönlichen Regeln auf:
1. Lasse keine sensiblen Daten unverschlüsselt ins Netz
2. Nutze, sofern angeboten, Two-factor authentication
3. Minimiere Cloud-Abhängigkeit und -Nutzung
==ZITAT ENDE==
Also den ersten beiden Regeln stimme ich dir voll und ganz zu, aber die dritte? Hälst du die auch wirklich ein? Grob geschätzt sind doch fast 50% deiner Blog-Posts über irgendwelche Cloud-Dienste.
Außerdem ist „Cloud“ doch das Novum der letzten Jahre und ich sehe mich immer mehr in der Versuchung, so viel wie möglich in die Cloud zu verlagern.
Ich will nicht mehr auf einen Rechner angewiesen sein, sondern auf fast alles zugreifen können, wann und wo ich es will, egal ob PC, Laptop, Tablet, Handy, Fremd-PC und was da noch alles kommen mag.
Das wichtigste hierbei ist wohl VERSCHLÜSSELUNG. Man muss sich selbst darüber im klaren sein, dass sobald man Daten aus der eigenen Hand gibt und die Cloud lädt, man nicht mehr 100% Kontrolle über diese Daten hat, deswegen sollte man alles in der eigenen Macht stehende machen, dass sensible Daten nur für einen selbst zugreifbar sind.
Auch sollte man Unternehmen nicht blind vertrauen. Ich z.B. sträube mich noch immer davor Google Drive (bzw. eher Docs) richtig zu nutzen, weil ich nicht abschätzen kann, was Google mit meinen Dokumenten macht.
Ich würde z.B. niemals eine Einnahmen/Ausgaben-Liste in Google Drive führen wollen. Es sei denn, es gibt endlich mal eine Software die für solche Clouddienste Verschlüsselung anbietet auf Clientseite, also noch bevor die Daten auf den Servern ankommen sollen diese verschlüsselt werden.
Hier übrigens ein Projekt, dass so einen Ansatz verfolgt: http://www.cipherdocs.com/ Ich hoffe das Projekt wird weiter geführt.
Es kann aber echt nicht angehen, dass ein Mitarbeiter von denen a) die Daten unverschlüsselt in der Box hat und b) für die Verschlüsselung der Box ein Passwort mehrfach verwendet. Wie dumm kann eine Firma sein, dass sie so etwas zulässt? Wahrscheinlich zu schnell gewachsen und keine Struktur. Oh man..
Na endlich! Auf two-factor authentication warte ich bei Dropbox schon lange!
@caschy Oh, hatte nur bis ‚Aktivitäts-Tab‘ durchgescannt – den Rest des Satzes dann aber nicht mir. Gut dann nehm ich den Teil mit ‚Caschy hat noch was interessantes vergessen‘ natürlich zurück. Dann hab ich aber wenigstens noch den Link geliefert. Wie es aussieht kann man sich jetzt auch eine Email senden lassen wenn: ‚a new computer is linked to my account‘. Kann aber nicht genau sagen ob das wirklich neu ist.
Gruß, Matze
=========
Der Grund für die erzwungene Änderung? Entweder hast du ein “zu allgemeines” Passwort oder eines, welches schon lange nicht mehr geändert wurde.
=========
Wie will Dropbox wissen, ob ich ein „zu allgemeines“ Passwort habe?
Sichere Passwörter erzeuge ich mir über Sätze wie :“Drei Chinesen mit dem Kontrabass sitzen auf der Straße und erzählen sich was.“ oder „Herzen haben keine Fenster“ (Anm.: ein Schlager aus den 70ern) von denen man dann die Anfangsbuchstaben nimmt (ergibt 3CmdKsadS&esw und HhkF) und „würzt“ es mit diversen Ziffern und Sonderzeichen (z.B. HhkF70$§€?), was bei den „3Chinesen“ fast überflüssig scheint, außer das man aus dem S ein $ machen könnte und hinten noch ein ! oder ? ranhängt. Wenn man (so wie ich) gezwungen ist, sein Passwort monatlich zu ändern, werden dann aus den 3 Chinesen irgendwann 23 oder so.
Stimme Florian zu. Dropbox kann eigentlich nicht wissen, ob ich ein gutes oder schlechtes Passwort habe, da die Passwörter ja verschlüsselt in der Datenbank abgelegt werden. Nur das letzte Änderungsdatum kann geprüft werden.
Trotzdem sollte man mal anmerken, dass nix, aber auch gar nix mit unseren Dropboxen passiert ist. Caschy allein sagt hier, dass man das Dropbox-Passwort ändern muss. Natürlich ist es ratsam, Passwörter regelmäßig zu ändern und z.B. mittels PW-Managern zu verwalten. Aber hier ist der Kontext ja ein völlig anderer. Eure Dropboxen und Passwörter wurden nicht gehackt.
Konzentration auf die Kernkompetenzen! Die Kernkompetenz eines Cloud-Anbieters ist der Speicherplatz mit Synchronisationsfunktionen etc.
Cashy hat oft genug über Sicherheit und Verschlüsselung bei Dropbox geschrieben.
Mit einer Kombination von BoxCryptor (z.B. für kleinere Daten, die man öfter benötigt und auf die auch von einem Smartphone zugegriffen werden soll) und Truecrypt (ein größerer Container mit weniger volatilen Daten), ist man schon RELATIV auf der sicheren Seiten.
Denn wir wissen alle, dass es die ABSOLUTE Sicherheit nicht gibt. Diese Aussage trifft aber auch unabhängig von der Cloud-Nutzung zu.
Wir sind nämlich alle (mit PC, Smartphone, NAS!) mit dem Internet verbunden.
Es geht aber bei diesem Thema gar nicht um Dropbox-Verschlüsselung, sondern dass Dropbox „unsere“ Passwörter verliert.