Dropbox 2-Faktor-Authentifizierung kann leicht ausgehebelt werden
Vor rund 10 Monaten wurde bei Dropbox die 2-Faktor-Authentifizierung eingeführt. Wie nun heraus kam, lässt sich diese mit einem relativ einfachen Trick umgehen, falls man die Logindaten (Username + Passwort) zur Verfügung hat.
Der Trick liegt in der verwendeten Email-Adresse und den Notfallcodes, die man sich schicken lassen kann. Ist der betroffene Nutzer zum Beispiel mit xxxxxx@yyy.com registriert, kann man sich eine neue Emailadresse machen, die einen Punkt enthält, also xxx.xxx@yyy.com. Dropbox registriert den Punkt bei der Emailadresse nicht und aktiviert die 2-Faktor-Authentifizierung. Gibt man nun an, dass man sein Handy verloren hat, erhält man einen Notfallcode und hat vollen Zugriff auf den Account.
[werbung] Natürlich muss man erst einmal Nutzername und Passwort des Nutzers haben, in dessen Account man eindringen will (wobei sich mir die Frage stellt, ob man so nicht auch die Lost Password Funktion nutzen könnte), hat man diese aber, ist es leicht, die vermeintlich sicherere 2-Faktor-Authentifizierung zu umgehen. Dropbox scheint bereits an einem Fix zu arbeiten, was wiederum auch nicht allzu schwer sein dürfte, da man ja nur eine exakte Abfrage der Emailadresse vornehmen müsste.
@georg ha: danke für das verwenden meines links 😉
@Schlaflos: Und genau da beißt sich für mich deine Argumentation in den metaphorischen Hintern. Wenn ich Platz satt haben will, will ich auch Delta syncen, weil ich eben genau jetzt die Daten brauche und keinen Bock habe, Stunden zu warten je nachdem welche Verbindung ich an welchem Endgerät gerade habe, um jeden Mist nochmal vollständig runterzuladen, nur weil er sich geändert hat. Da ist mir Platz satt sowas von egal (zumal ich den erstmal füllen muss – ist mir immer noch schleierhaft, wie man 200GB+ anständig füllen will und dann noch Zeit und Lust hat, den Kram jedes Mal auf einem Endgerät runterzuladen). Das hat gar nichts mit irgendwelchen Containern zu tun. Wenn ich ein Photoshop File habe – und als Freelancer gerade im Web hat man eben bei Projekten auch mal mit sowas zu tun – und der Kollege macht da Änderungen, hab ich keine Zeit und Lust mobil mal eben nochmal 500MB runterzuladen, wenn das PS File sich gerade um 5MB geändert hat. Einfach weil es lange dauert und ggf. eben auch unterwegs gehen muss, wo man vielleicht nur via Mobil-Datenverbindung online ist.
Das ist (mein) Einsatz in der Praxis. Und da sind mir selbst 500GB egal. Wenn ich ne Stunde warten muss, weil sich das File geändert hat und alles nochmal runtergeladen werden muss anstatt nur der paar Blöcke die sich geändert haben, dann ist das einfach nur unpraktisch, kostet im dümmsten Fall Geld oder Zeit (Mobilverbindung) und Nerven. Und genau deshalb ist Größe nicht alles 😉
@Jens Ist doch okay. Wir haben eben ein völlig anderes Anwendungsszenario. Ich share nichts. Ich habe ein paar große Dateien, aber die will ich lediglich via COPY archivieren für den Fall der Fälle (Backup). Da verändert sich bei mir nicht viel, aber online von einem Rechner ohne COPY (mit Browser) kann ich notfalls auf meine Daten zurückgreifen.
Was ich früher mit einem NAS gemacht habe, mache ich nun mit COPY.
Klar lassen sich 200 GB nicht so einfach befüllen. Aber ich habe Zeit. Jeden Tag ein paar GB… das läppert sich.
Schön das ich bei Dropbox eine Mail Adresse mit meiner eigenen Domain als Endung verwende da muss erst noch mein Webspace Konto gehackt werden das funktioniert.
Hmm ich bleib bei Dropbox,alles bestens für mich und überwiegend alle
anderen User auch,und diese GB Hascherei brauch ich nicht wirklich,
wers braucht ist ja ok,aber viele machens nur aus dem „Umso mehr
desto besser Prinzip.“ohne die vielen GB’S wirklich zu brauchen.Hab
bei Dropbox aktuell 50GB,(Dropbox+Samsung S3 Aktion)glaube für
2 Jahre war das,die ich wohl nie ganz nutzen werd,wohl eher nur ein
bruchteil davon,da ich nix share und das auch soweit nicht vorhab,
nutze Dropbox fürs hin/und/her schieben von Dateien,Bilder,Mp3 usw
zwischen meinem Win7 32 Bit Ultimate und meinem Samsung S3.
Soweit damit sehr zufrieden.Hoffe nur das Dropbox auch sicher ist,da
ja US Server usw,hoffe die stecken da nicht auch die Nase in die
User Dateien,weiss leider nicht wie das mit Truecrypt und der Dropbox
geht,scheint mir ziemlich umständlich,gibts da nicht ne einfachere
Lösung zum Thema Dropbox und Daten verschlüsseln.?
@Lucien: Das ist nicht kompliziert und wurde bereits mehrfach hier im Blog ausführlich beschrieben. Auch viele Alternativen zur Verschlüssung hat Caschy bereits aufgezeigt. EInfach mal die Suchfunktion benutzten 😉