Dropbox unterstützt Authentifizierung per U2F
von caschy | 8 Kommentare
Kurz notiert: Dropbox unterstützt ein neues Verfahren zur Authentifizierung eines Benutzers. Konnte man sich bislang per Passwort und E-Mail-Adresse und gegebenenfalls dem Code aus der Zwei-Faktor-Authentifizierung einloggen, so unterstützt der Anbieter nun auch USB-Sicherheitskeys. Google unterstützt den Spaß auch, Dropbox setzt hier ebenfalls auf eine Public-Key-Infrastruktur der FIDO Alliance, die auf den Namen Universal 2nd Factor (U2F) hört. Hier müssen also keine Codes mehr eingetippt werden, der USB-Stick ist dann der Schlüssel. Die Sticks müssen FIDO-kompatibel sein, Yubico ist einer der bekannteren Hersteller, die diese Art Stick anbietet. FIDO-Keys findet man für unter 20 Euro bei Amazon, Besitzer eines solchen finden in der Dropbox-FAQ alle Infos zur Einrichtung.
Wird geladen ...
Das Feature ist schon seit längerem in Dropbox for Business. Nett zu sehen, dass Dropbox eingesehen hat zumindest dies auch für alle freizuschalten…
Wie ist das wenn der Stick geschrottet ist (ist mir bei vielen USB, auch Marken Sticks, schon passiert) komme ich dann noch an den Account?
Da ist mir der Google Authentifikator lieber.
Viel mehr Dienste sollten diese App unterstützen, z.B. twitter & fb / paypal. Das wäre mein Favorit.
Stimme JayeM da völlig zu! Allerdings beschäftige ich mich gerade intensiv mit dem Yubikey, weil die Authenticator-App grundsätzlich anfällig für Malware sein dürfte. Leider ist der Yubikey mit NFC (für die Nutzung am Smartphone) mit >54,-€ sehr teuer und wird noch vergleichsweise wenig unterstützt. Paypal und Ebay sind z. B. gar nicht dabei und gerade da würde es m. E. Sinn machen.
Bei mir wären Google, Lastpass und Evernote interessant, aber bei allen wird auch der Authenticator unterstützt. Und mal im Ernst: am Ende stuft man die häufig genutzten Geräte eh als „vertrauenswürdig“ ein und der Key hängt nur selten genutzt am Schlüsselbund. Interessant ist das Teil trotzdem 😉
Super
@Alex
Man kann beim Login notfalls auf den Authenticator oder SMS TAN ausweichen wenn der Stick nicht zur Hand bzw. geschrottet ist.
@Andreas G. – aber hebelt genau das nicht die zusätzliche Sicherheit des Yubikeys auch wieder aus? Da kann ich doch gleich beim Authenticator bleiben?!
@Matze
Es ist generell ein Fallback nötig. Zum einen wird U2F noch nicht von allen Plattenformen oder Browsern unterstützt und zum anderen ist natürlich immer die Befürchtung da das der Stick kaputt geht oder aber das man ihn gerade nicht dabei hat.
Dabei ist aber positiv anzumerken das der Fallback zu einer anderen Authentifizierung mit 2 Faktoren stattfindet.