Dropbox 2-Faktor-Authentifizierung kann leicht ausgehebelt werden

Vor rund 10 Monaten wurde bei Dropbox die 2-Faktor-Authentifizierung eingeführt. Wie nun heraus kam, lässt sich diese mit einem relativ einfachen Trick umgehen, falls man die Logindaten (Username + Passwort) zur Verfügung hat.

Dropbox
Der Trick liegt in der verwendeten Email-Adresse und den Notfallcodes, die man sich schicken lassen kann. Ist der betroffene Nutzer zum Beispiel mit xxxxxx@yyy.com registriert, kann man sich eine neue Emailadresse machen, die einen Punkt enthält, also xxx.xxx@yyy.com. Dropbox registriert den Punkt bei der Emailadresse nicht und aktiviert die 2-Faktor-Authentifizierung. Gibt man nun an, dass man sein Handy verloren hat, erhält man einen Notfallcode und hat vollen Zugriff auf den Account.

[werbung] Natürlich muss man erst einmal Nutzername und Passwort des Nutzers haben, in dessen Account man eindringen will (wobei sich mir die Frage stellt, ob man so nicht auch die Lost Password Funktion nutzen könnte), hat man diese aber, ist es leicht, die vermeintlich sicherere 2-Faktor-Authentifizierung zu umgehen. Dropbox scheint bereits an einem Fix zu arbeiten, was wiederum auch nicht allzu schwer sein dürfte, da man ja nur eine exakte Abfrage der Emailadresse vornehmen müsste.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

*Mitglied der Redaktion 2013 bis 2019* Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

27 Kommentare

  1. @georg ha: danke für das verwenden meines links 😉

  2. @Schlaflos: Und genau da beißt sich für mich deine Argumentation in den metaphorischen Hintern. Wenn ich Platz satt haben will, will ich auch Delta syncen, weil ich eben genau jetzt die Daten brauche und keinen Bock habe, Stunden zu warten je nachdem welche Verbindung ich an welchem Endgerät gerade habe, um jeden Mist nochmal vollständig runterzuladen, nur weil er sich geändert hat. Da ist mir Platz satt sowas von egal (zumal ich den erstmal füllen muss – ist mir immer noch schleierhaft, wie man 200GB+ anständig füllen will und dann noch Zeit und Lust hat, den Kram jedes Mal auf einem Endgerät runterzuladen). Das hat gar nichts mit irgendwelchen Containern zu tun. Wenn ich ein Photoshop File habe – und als Freelancer gerade im Web hat man eben bei Projekten auch mal mit sowas zu tun – und der Kollege macht da Änderungen, hab ich keine Zeit und Lust mobil mal eben nochmal 500MB runterzuladen, wenn das PS File sich gerade um 5MB geändert hat. Einfach weil es lange dauert und ggf. eben auch unterwegs gehen muss, wo man vielleicht nur via Mobil-Datenverbindung online ist.

    Das ist (mein) Einsatz in der Praxis. Und da sind mir selbst 500GB egal. Wenn ich ne Stunde warten muss, weil sich das File geändert hat und alles nochmal runtergeladen werden muss anstatt nur der paar Blöcke die sich geändert haben, dann ist das einfach nur unpraktisch, kostet im dümmsten Fall Geld oder Zeit (Mobilverbindung) und Nerven. Und genau deshalb ist Größe nicht alles 😉

  3. @Jens Ist doch okay. Wir haben eben ein völlig anderes Anwendungsszenario. Ich share nichts. Ich habe ein paar große Dateien, aber die will ich lediglich via COPY archivieren für den Fall der Fälle (Backup). Da verändert sich bei mir nicht viel, aber online von einem Rechner ohne COPY (mit Browser) kann ich notfalls auf meine Daten zurückgreifen.

    Was ich früher mit einem NAS gemacht habe, mache ich nun mit COPY.

    Klar lassen sich 200 GB nicht so einfach befüllen. Aber ich habe Zeit. Jeden Tag ein paar GB… das läppert sich.

  4. Schön das ich bei Dropbox eine Mail Adresse mit meiner eigenen Domain als Endung verwende da muss erst noch mein Webspace Konto gehackt werden das funktioniert.

  5. Hmm ich bleib bei Dropbox,alles bestens für mich und überwiegend alle
    anderen User auch,und diese GB Hascherei brauch ich nicht wirklich,
    wers braucht ist ja ok,aber viele machens nur aus dem „Umso mehr
    desto besser Prinzip.“ohne die vielen GB’S wirklich zu brauchen.Hab
    bei Dropbox aktuell 50GB,(Dropbox+Samsung S3 Aktion)glaube für
    2 Jahre war das,die ich wohl nie ganz nutzen werd,wohl eher nur ein
    bruchteil davon,da ich nix share und das auch soweit nicht vorhab,
    nutze Dropbox fürs hin/und/her schieben von Dateien,Bilder,Mp3 usw
    zwischen meinem Win7 32 Bit Ultimate und meinem Samsung S3.

    Soweit damit sehr zufrieden.Hoffe nur das Dropbox auch sicher ist,da
    ja US Server usw,hoffe die stecken da nicht auch die Nase in die
    User Dateien,weiss leider nicht wie das mit Truecrypt und der Dropbox
    geht,scheint mir ziemlich umständlich,gibts da nicht ne einfachere
    Lösung zum Thema Dropbox und Daten verschlüsseln.?

  6. @Lucien: Das ist nicht kompliziert und wurde bereits mehrfach hier im Blog ausführlich beschrieben. Auch viele Alternativen zur Verschlüssung hat Caschy bereits aufgezeigt. EInfach mal die Suchfunktion benutzten 😉

Bevor du deinen Kommentar abschickst:
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.