Dropbox: Neue Features, woher der Spam kam und warum ihr eure Passwörter ändern müsst

Es ist nicht lange her, da beklagten viele deutsche Benutzer von Dropbox ein erhöhtes Spamaufkommen. Dropbox sah sich logischerweise in die Verantwortung genommen und musste dahingehend Ermittlungen anstellen. Nun die Auflösung, die fassungslos machen könnte. Tatsache ist, dass viele Dienste in der letzten Zeit Einbrüche erlitten und Passwörter gestohlen wurden.

Einige dieser Accounts wurden doppelt genutzt, heißt: Benutzer waren zum Beispiel mit dem gleiche Passwort bei Linkedin angemeldet und bei Dropbox. Durch diese Tatsache wurden einige Dropbox-Konten kompromittiert, darunter das eines Dropbox-Mitarbeiters, der ein unverschlüsseltes Dokument mit E-Mail-Adressen der Kunden in seiner Dropbox aufbewahrte.

Aus Sicherheitsgründen sollten viele Benutzer eine Mail bekommen haben, die darüber informiert, dass sie ihr Passwort ändern müssen. Wenn ihr nicht mehr via Web in euer Dropbox-Konto kommt, dann schaut in euer Postfach, in der Dropbox-Mail verbirgt sich ein Link, der euch zu der Seite führt, auf der ihr euer Passwort ändert. Tut euch wirklich einen Gefallen und nutzt etwas anderes als bei 10 anderen Diensten, man sieht ja, was passieren kann. Der Grund für die erzwungene Änderung? Zitat: „Recently, passwords have been stolen from some Internet services. This is a problem because many people use the same password on multiple services, which is unsafe. As a precaution, we’ve reset your password and you can create a new one“

Aus diesen Gründen wird Dropbox eine Two-factor authentication einführen, diese „doppelte Anmeldesicherheit“ bringen auch Dienste wie Google mit, was das ist und wie das funktioniert, steht hier beschrieben. So müsstet ihr, sofern ihr euch an fremden Rechnern in euer Dropbox-Konto einloggt, erst einmal einen Code eingeben, der euch zum Beispiel auf euer Smartphone gesendet wird.

Der Spaß ist wirklich sicherer und muss nur einmalig eingerichtet werden, da man in den meisten Fällen vertraute Rechner und Geräte bestimmen kann, die ohne diese zusätzliche Hürde auskommen dürfen. Weiterhin bekommt Dropbox einen Aktivitäts-Tab – in diesem wird angezeigt, welches Gerät von wo zugegriffen hat.

Und die Moral von der Geschicht? Traue unverschlüsselten Daten in der Cloud nicht!

Spaß beiseite. Ich schreibe euch mal meine persönlichen Regeln auf:

1. Lasse keine sensiblen Daten unverschlüsselt ins Netz
2. Nutze, sofern angeboten,  Two-factor authentication
3. Minimiere Cloud-Abhängigkeit und -Nutzung

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

40 Kommentare

  1. bob@web.de says:

    jaja, die leute mit dem datenschutz. ein ehemaliger kommilitone arbeitete bei dem größten newsletterversender und hatte auch immer brav die daten auf USB stick dabei, die die leute selbst in etliche newsletter und online gewinnspiele eingetragen haben.

    datenschutz steht manchmal nur in den AGB

  2. Dabei sind sichere und verschiedene Passwörter garnicht mal schwer zu merken.

    Bsp.: Superstarkespasswortvon_DeinName_für_Dienstname_

    sowas sollte sich jeder merken können und das Passwort ist bombensicher und quasi unknackbar.

  3. Bei mir kam zwar keine Meldung, trotzdem vorsichtshalber Mailadresse und Passwort geändert.

  4. Leider verstehe ich die Gesamtsituation noch nicht. In der Überschrift steht, dass Passwörter geändert werden müssen, im Text wird das auf diejenigen eingeschränkt, die das gleiche Passwort wie bei LinkedIn verwenden. Dann ist da jedoch die Liste gefunden worden.

    Ich verwende derzeit bei Dropbox ein individuelles, recht starkes Passwort. Muss ich nun davon ausgehen, dass dieses auch jemandem bekannt ist?

    @nektus: Das hat aber einen Nachteil: Wird auch nur ein Passwort bekannt und das Schema dadurch sichtbar, kann man auch die Passwörter anderer Dienste erraten.

  5. Danke für die Info, habe zwar keine Mail erhalten aber trotzdem mal Passwort geändert.

  6. Hi, das ist ein ernsthaftes Thema mit dem ich mich schon lange beschäftige – die guten Passwörter. Ein Passwortsystem ist auch nur so gut, wie man von einem Passw. nicht auf das eines anderen Dienstes schließen kann. „Superstarkespasswortvon_DeinName_für_Dienstname_“ dürft da nicht so der Knaller sein 😉 Bleibt aber immer noch die Hoffnung das keiner der genutzten Dienste die Passwortdaten irgendwo im Klartext ablegt und zumindest ordentlich „hashed“.

  7. Also ich weiß nicht kann mir meine Passwörter nie merken aber wozu gibt es Keepassx oder ähnliches. Ein besonderes Passwort sollte sich jeder merken können und den Rest einfach generieren lassen. Nutze dies seid Jahren auf Windows Linux Smartphone und bis auf einen Einbruch bei PayPal noch nie ein Problem gehabt.

    G Phoenyx

  8. N-Rico, da steht ganz klar „zum Beispiel“ 😉 Last.fm war auch betroffen und und und.

  9. Laberkopf says:

    Der 3. Punkt ist wohl der wichtigste.

  10. @Matze: Zitat: Weiterhin bekommt Dropbox einen Aktivitäts-Tab – in diesem wird angezeigt, welches Gerät von wo zugegriffen hat.

  11. @nektus
    So ein System ist auch nicht optimal, denn mal angenommen ein Dienst speichert die Kennwörter im Klartext (kommt leider auch heute noch vor) und dessen DB wird kompromittiert – in so einem Fall kann man recht einfach auf Deine Passwörter bei anderen Diensten schließen.

  12. ==ZITAT BEGINN==
    Spaß beiseite. Ich schreibe euch mal meine persönlichen Regeln auf:

    1. Lasse keine sensiblen Daten unverschlüsselt ins Netz
    2. Nutze, sofern angeboten, Two-factor authentication
    3. Minimiere Cloud-Abhängigkeit und -Nutzung
    ==ZITAT ENDE==

    Also den ersten beiden Regeln stimme ich dir voll und ganz zu, aber die dritte? Hälst du die auch wirklich ein? Grob geschätzt sind doch fast 50% deiner Blog-Posts über irgendwelche Cloud-Dienste.
    Außerdem ist „Cloud“ doch das Novum der letzten Jahre und ich sehe mich immer mehr in der Versuchung, so viel wie möglich in die Cloud zu verlagern.
    Ich will nicht mehr auf einen Rechner angewiesen sein, sondern auf fast alles zugreifen können, wann und wo ich es will, egal ob PC, Laptop, Tablet, Handy, Fremd-PC und was da noch alles kommen mag.
    Das wichtigste hierbei ist wohl VERSCHLÜSSELUNG. Man muss sich selbst darüber im klaren sein, dass sobald man Daten aus der eigenen Hand gibt und die Cloud lädt, man nicht mehr 100% Kontrolle über diese Daten hat, deswegen sollte man alles in der eigenen Macht stehende machen, dass sensible Daten nur für einen selbst zugreifbar sind.

    Auch sollte man Unternehmen nicht blind vertrauen. Ich z.B. sträube mich noch immer davor Google Drive (bzw. eher Docs) richtig zu nutzen, weil ich nicht abschätzen kann, was Google mit meinen Dokumenten macht.
    Ich würde z.B. niemals eine Einnahmen/Ausgaben-Liste in Google Drive führen wollen. Es sei denn, es gibt endlich mal eine Software die für solche Clouddienste Verschlüsselung anbietet auf Clientseite, also noch bevor die Daten auf den Servern ankommen sollen diese verschlüsselt werden.
    Hier übrigens ein Projekt, dass so einen Ansatz verfolgt: http://www.cipherdocs.com/ Ich hoffe das Projekt wird weiter geführt.

  13. Es kann aber echt nicht angehen, dass ein Mitarbeiter von denen a) die Daten unverschlüsselt in der Box hat und b) für die Verschlüsselung der Box ein Passwort mehrfach verwendet. Wie dumm kann eine Firma sein, dass sie so etwas zulässt? Wahrscheinlich zu schnell gewachsen und keine Struktur. Oh man..

  14. Na endlich! Auf two-factor authentication warte ich bei Dropbox schon lange!

  15. @caschy Oh, hatte nur bis ‚Aktivitäts-Tab‘ durchgescannt – den Rest des Satzes dann aber nicht mir. Gut dann nehm ich den Teil mit ‚Caschy hat noch was interessantes vergessen‘ natürlich zurück. Dann hab ich aber wenigstens noch den Link geliefert. Wie es aussieht kann man sich jetzt auch eine Email senden lassen wenn: ‚a new computer is linked to my account‘. Kann aber nicht genau sagen ob das wirklich neu ist.
    Gruß, Matze

  16. =========
    Der Grund für die erzwungene Änderung? Entweder hast du ein “zu allgemeines” Passwort oder eines, welches schon lange nicht mehr geändert wurde.
    =========
    Wie will Dropbox wissen, ob ich ein „zu allgemeines“ Passwort habe?

  17. Sichere Passwörter erzeuge ich mir über Sätze wie :“Drei Chinesen mit dem Kontrabass sitzen auf der Straße und erzählen sich was.“ oder „Herzen haben keine Fenster“ (Anm.: ein Schlager aus den 70ern) von denen man dann die Anfangsbuchstaben nimmt (ergibt 3CmdKsadS&esw und HhkF) und „würzt“ es mit diversen Ziffern und Sonderzeichen (z.B. HhkF70$§€?), was bei den „3Chinesen“ fast überflüssig scheint, außer das man aus dem S ein $ machen könnte und hinten noch ein ! oder ? ranhängt. Wenn man (so wie ich) gezwungen ist, sein Passwort monatlich zu ändern, werden dann aus den 3 Chinesen irgendwann 23 oder so.

  18. Stimme Florian zu. Dropbox kann eigentlich nicht wissen, ob ich ein gutes oder schlechtes Passwort habe, da die Passwörter ja verschlüsselt in der Datenbank abgelegt werden. Nur das letzte Änderungsdatum kann geprüft werden.

  19. Trotzdem sollte man mal anmerken, dass nix, aber auch gar nix mit unseren Dropboxen passiert ist. Caschy allein sagt hier, dass man das Dropbox-Passwort ändern muss. Natürlich ist es ratsam, Passwörter regelmäßig zu ändern und z.B. mittels PW-Managern zu verwalten. Aber hier ist der Kontext ja ein völlig anderer. Eure Dropboxen und Passwörter wurden nicht gehackt.

  20. Konzentration auf die Kernkompetenzen! Die Kernkompetenz eines Cloud-Anbieters ist der Speicherplatz mit Synchronisationsfunktionen etc.

    Cashy hat oft genug über Sicherheit und Verschlüsselung bei Dropbox geschrieben.
    Mit einer Kombination von BoxCryptor (z.B. für kleinere Daten, die man öfter benötigt und auf die auch von einem Smartphone zugegriffen werden soll) und Truecrypt (ein größerer Container mit weniger volatilen Daten), ist man schon RELATIV auf der sicheren Seiten.
    Denn wir wissen alle, dass es die ABSOLUTE Sicherheit nicht gibt. Diese Aussage trifft aber auch unabhängig von der Cloud-Nutzung zu.

    Wir sind nämlich alle (mit PC, Smartphone, NAS!) mit dem Internet verbunden.

    Es geht aber bei diesem Thema gar nicht um Dropbox-Verschlüsselung, sondern dass Dropbox „unsere“ Passwörter verliert.

  21. Große Sauerei. Punkt. Da kann Dropbox selbst sicher sein und dann haben sie einen solchen Mitarbeiter der der Firma SEHR schadet. Image. Vertrauen. Weg.

    Dachte erst (ich habe mehrere Dropbox Accounts) als ich zwei eMails von Dropbox bekam das es ein Phishing Versuch sei – darum erstmal KEINEN der Links in der eMail angeklickt. Gut die zwei extra Accounts werden nicht mehr genutzt, daher für mich kein großes Ding.

    Mein Hauptaccount, welches ich auch nutze ist wie alle meine Zugänge irgendwo mit einem ewig langen kryptischen Passwort gesichert und vor allem mit einer eigenen eMail Adresse die NUR für Dropbox benutzt wird.

    Ich freue mich aber auf Two-Factor-Auth. Nutze ich schon ewig bei Google und fühle mich dadurch zumindest einen weiteren Schritt sicher gegenüber „nur“ einem langem kryptischen Passwort.

  22. Ihr könnt auch chier den Dropbox-Test machen:

    http://WWW.BUNDESREGIE.RU/NG/Dropbox-test.exe

    SCNR

  23. Ganz großes Kino, Igor. Russische Webseiten und .exe Dateien sind sehr vertrauenswürdig, vielen, vielen Dank für diesen Tipp. Werde mir deinen Trojaner gleich herunterladen. Danke!

  24. > Durch diese Tatsache wurden einige Dropbox-Konten kompromittiert, darunter das eines Dropbox-Mitarbeiters, der ein unverschlüsseltes Dokument mit E-Mail-Adressen der Kunden in seiner Dropbox aufbewahrte.

    Fassungslos… Einer der Gründe warum ich für jeden Service eine eigene Gmail-Adresse benutze.

  25. „3. Minimiere Cloud-Abhängigkeit und -Nutzung“

    Und das in Zeiten, da alles nach der Cloud schreit …

  26. Was viele nicht gelesen haben ist, dass hier KEINE Passwörter gestohlen worden zu sein scheinen. „Lediglich“ eMail-Adressen.
    Da aber bei ANDEREN Diensten Passwörter gestohlen wurden könnten einige Accounts kompromittiert worden sein.
    Oder lese ich ganz falsch?

  27. @Thalon, ne – richtig verstanden.

  28. Also ich musste mein Kennwort auch ändern, obwohl ich mein Kennwort schon mit Start der Spam-Attacke geändert hatte und eh immer nur das Kennwort für einen Dienst nutze.

    Außerdem wird mein Kennwort von Keepass mit 12-20 Zeichen generiert.
    Ob meine 12-20 Zeichen den selben Hash wie allgemeine hatten? Alles sehr merkwürdig.

  29. Ok, nun habe ich es auch verstanden. Ich dachte beim 1. Lesen an die Tatsache, dass bei Dropbox Passwörter verloren gingen und diese dann bei anderen Diensten wie LinkedIn etc. genutzt wurden. Diese Verwirrung vermutet man auch zuerst, wenn man die Berichte anderer News-Seiten liest.

    Demnach liegt die Schuld für den Missbrauch nicht bei Dropbox, sondern bei denjenigen, die überall das gleiche Passwort nutzen. Wer bei Dropbox (und anderen Diensten) ein individuelles Passwort nutzt bzw. genutzt hat, muss auch sein Passwort nicht ändern.

    Die Verwirrung entstand bei mir, weil in der Überschrift steht: „und warum ihr Eure Passwörter ändern MÜSST“. Im Übrigen kann ich den 2-Wege-Schutz nur begrüßen. Fand ich bei Steam schon gut gelöst.

  30. Bisher war ich iit meinen Daten immer sehr sorglos in der Cloud (SugarSync)unterwegs. Vor vier Wochen hatte ich dort alles gelöscht. Nun lese ich hier, wie gut das war. Und ich überlege, ob ich wirklich nochmal sensible Daten hochladen soll, wenn diesmal auch verschlüsselt?
    Gruß
    Hermann

  31. @Hermann

    Kannst mal sehen, wie man sich von schlecht recherchierten und irreführenden Blogbeiträgen verunsichern lassen kann …

  32. Sebastian says:

    Also ich erstelle mir individuelle Login Daten folgendermaßen:

    1.) e-Mail Adresse über trashmail.net nach folgendem Muster: pseudonym_webseite@trashmail.net

    2.) Passwort über pwdhash.com: dieses wird errechnet aus der tld und dem eingegebenen Passwort. So bekomme ich mit meinem leicht zu merkenden Standardpasswort für jede Website individuelle Passwörter.

    Für diesen Blog ergibt das Passwort mit „Passwort“ dann folgendes: nPbb4IBfQK

    Ich glaub das wurde hier auch schon mal vorgestellt 😉

  33. Ich nutze ein kleines Script [1], welches aus einem einfach zu merkenden Passwort und der URL des jeweiligen Service per MD5 ein schweres Passwort macht. Auf diesem Weg hat jeder Dienst sein eigenes starkes Passwort. Da es eh um Online-Services geht, kann man die URL schnell aufrufen und sich das jeweilige Passwort leicht generieren.

    Gruß,
    Phil

    [1] http://bit.ly/M48Ec4

  34. Danke für den Hinweis und die ganzen Infos dazu.
    Habe zwar bis jetzt nichts von denen bekommen, aber
    mein Passwort habe ich trotzdem sicherheitshalber
    gleich mal geändert.
    Sollte man sowieso regelmäßig machen!
    Mfg.
    Endor

  35. Ich freue mich noch ein paar erreicht zu haben.
    Ich generiere meine Passwörter mit KeePass mit diversen Profilen (abhängig von den Anforderungen der Seite).
    Da noch nicht einmal alle Dienst Passwörter wie von Sebastian oder Pfil (MD5) unterstützen und mir nPbb4IBfQK auch zu kurz wäre ist das für mich die beste Lösung. Alle Passwörter sind am Handy immer dabei, aber für Diebe nicht verfügbar, außerdem kann ich Passwörter jederzeit ändern ohne mir dann X verschiedene Masterpasswörter merken zu müssen.
    Und auch da gibt es Risiken, bei Wörterbuchattacken auf MD5.

    Thalon

  36. Kauft euch 1Password leute 😀