Video: Week 10 (September 2024)
Om du använder Dropbox för att lagra dina filer kan du överväga det här inlägget som en påminnelse om att du bör använda tvåfaktorautentisering för molntjänsten.
En okänd person publicerade hundratals användarnamn och lösenord som påstås tillhöra Dropbox-konton på textdelningswebbplatsen Pastebin på måndag. Pastebin-användaren sa att provet var en liten bråkdel av en lista bestående av så mycket som 7 miljoner komprometterade Dropbox-konton.
"Vi kommer att fortsätta släppa mer till allmänheten när donationer kommer in, visa ditt stöd, " sade Pastebin tillkännagivandet som åtföljde lösenorddumpen.
Dropbox har inte hackats
Om du är orolig att dina filer och bilder har stulits, sa Dropbox att det inte finns något att oroa sig för.
"Dina grejer är säkra, " skrev Anton Mityagin, en medlem av Dropboxs säkerhetsteam, i ett blogginlägg där han hävdade att Dropbox inte hade hackats. "Användarnamn och lösenord som det hänvisas till i dessa artiklar staldes från icke-relaterade tjänster, inte Dropbox."
Molntjänsten hävdar att angripare drog ut användarnamn och lösenordskombinationer från andra kränkta tjänster och försökte sedan logga in på olika webbplatser över Internet, inklusive Dropbox. Eftersom återanvändning av lösenord är utbredd trots upprepade varningar om att inte göra det, kunde angriparna sammanställa en lista med kontouppgifter.
Även om Dropbox själv inte bryts, är inte mina filer i riskzonen eftersom mina kontouppgifter har blivit utsatta? Dropbox hävdade att det inte var fallet eftersom det regelbundet övervakar alla konton för att spåra den här typen av misstänkt inloggningsaktivitet. Dropbox hävdade också att den har kontrollerat listorna som publicerats på Pastebin och bekräftat att de inte är associerade med användarkonton.
"Vi har åtgärder för att upptäcka misstänkt inloggningsaktivitet och vi återställer automatiskt lösenord när det händer, " skrev Mityagin.
Återanvändning av lösenord är dåligt
Om ditt konto är ett av de som angriparna har identifierat har Dropbox förmodligen ändrat dina lösenord. Så först och främst, sluta återanvända dina lösenord i olika tjänster. Använd inte samma lösenord, även om du tror att kontona inte innehåller känslig information och inte är viktiga.
Trots de senaste överträdelserna som avslöjar användarlösenord tycks tyvärr inte människor fånga på. Troy Hunt, säkerhetsforskaren bakom HaveIBeenPwned.com, berättade för SecurityWatch förra månaden att han förväntade sig överlappningar mellan lösenordslistor från olika dataintrång. HaveIBeenPwneds databas innehåller lösenordslistor från mer än 30 webbplatser och låter användare kontrollera om deras konton är bland de som har blivit exponerade.
"Vi har bara inte ändrat lösenordsvanor tillräckligt" för att det inte kommer att bli överlappningar mellan dataöverträdelser, sade Hunt.
Tvåfaktor nu
Även om du inte har använt lösenord är ditt konto fortfarande sårbart för attacker av brute-force, särskilt om lösenordet är svagt. Det är också värt att notera att även starka och komplexa lösenord kan vara tvingade, särskilt om angriparen har tillräckliga datoressurser, tid och motivation. Det är därför du bör aktivera tvåstegsverifiering för alla tjänster som erbjuder den. Lyckligtvis för oss är Dropbox en av dessa tjänster och det är ganska lätt att installera det.
"Attacker som dessa är ett av orsakerna till att vi starkt uppmuntrar användare att inte återanvända lösenord mellan tjänster. För ett extra säkerhetsskikt rekommenderar vi alltid att du aktiverar tvåstegsverifiering på ditt konto, " skrev Mityagin.
Verifiering i två steg kombinerar lösenord eller "något du vet" med en mobil enhet eller "något du har" för att förhindra bedrägliga inloggningsförsök. Om du har aktiverat tvåfaktorer på ditt Dropbox-konto får du en sexsiffrig säkerhetskod på din mobiltelefon eller har en kod genererad från Google Authenticator-appen. "Att ha två steg snarare än bara ett skapar en starkare barriär mot angripare, " sade Dropbox.
Vi rekommenderar att du använder en lösenordshanterare som LastPass för att göra det enklare att skapa unika lösenord som också är komplexa. Men medan de kanske bromsar angriparna, är de inte idiotsäkra. Tvåfaktorautentisering kan vara mindre bekväm och långsam, men det är värt den extra ansträngningen om det hindrar angripare från att enkelt bryta in ditt konto.
