Video: Step 2: How to Use the Mobile App (Lokakuu 2024)
Jos tallennat tiedostoja Dropboxilla, harkitse tätä viestiä muistutuksena siitä, että sinun pitäisi käyttää kaksikerroista todennusta pilvipalveluun.
Tuntematon henkilö lähetti maanantaina satoja käyttäjänimiä ja salasanoja, joiden väitettiin kuuluvan Dropbox-tileihin, tekstiviestinsivustoon Pastebin. Pastebin-käyttäjän mukaan näyte oli pieni murto-osa luettelosta, joka koostui peräti 7 miljoonasta vaarannetusta Dropbox-tilistä.
"Julkistamme enemmän kansalaisille lahjoitusten tullessa, osoitamme tukemme", sanoi salasanan jätteen mukana seuraava Pastebin-ilmoitus.
Dropboxia ei ole hakkeroitu
Jos olet huolestunut tiedostojesi ja kuvasi varastamisesta, Dropbox sanoi, ettei ole mitään hätää.
"Sinun tavarasi ovat turvassa", Dropboxin turvallisuusjoukkueen jäsen Anton Mityagin kirjoitti blogiviestissä väittäen, että Dropboxia ei ollut hakkeroitu. "Näissä artikkeleissa mainitut käyttäjätunnukset ja salasanat varastatiin etuyhteydettömistä palveluista, ei Dropboxista."
Pilvipalvelu väittää, että hyökkääjät hävittävät käyttäjätunnuksen ja salasanan yhdistelmät muilta rikkoutuneilta palveluilta ja yrittivät sitten kirjautua sisään erilaisiin Internet-sivustoihin, mukaan lukien Dropbox. Koska salasanan uudelleenkäyttö on yleistä huolimatta toistuvista varoituksista, hyökkääjät pystyivät laatimaan luettelon tilitiedot.
Vaikka itse Dropboxia ei rikottu, eikö tiedostot ole vaarassa, koska tilini käyttöoikeustiedot on paljastettu? Dropbox väitti, että näin ei ollut, koska se seuraa säännöllisesti kaikkia tilejä seuratakseen tällaista epäilyttävää sisäänkirjautumista. Dropbox väitti myös tarkistaneen Pastebiniin lähetetyt luettelot ja vahvistaneet, että niitä ei liitetä käyttäjätileihin.
"Meillä on toimenpiteitä epäilyttävien kirjautumistoimintojen havaitsemiseksi ja palautamme salasanat automaattisesti, kun se tapahtuu", Mityagin kirjoitti.
Salasanan uudelleenkäyttö on huono
Jos tilisi on yksi hyökkääjien tunnistamista, Dropbox on todennäköisesti vaihtanut salasanasi. Joten ensinnäkin, lopeta salasanojen uudelleenkäyttö palveluissa. Älä käytä samaa salasanaa, vaikka luuletkin, että tilit eivät sisällä arkaluontoisia tietoja eivätkä ole tärkeitä.
Valitettavasti huolimatta viimeaikaisista rikkomuksista, jotka paljastavat käyttäjän salasanoja, ihmiset eivät näytä kiinnostavan. HaveIBeenPwned.com-sivuston tietoturvatutkija Troy Hunt kertoi SecurityWatchille viime kuussa odottavansa tiettyjen päällekkäisyyksiä eri tietorikkomusten salasanaluetteloiden välillä. HaveIBeenPwned-tietokanta sisältää yli 30 sivuston salasanaluettelot ja antaa käyttäjille mahdollisuuden tarkistaa, ovatko heidän tilinsä paljastuneita.
"Emme vain ole muuttaneet salasanatottumuksia tarpeeksi", ettei tietorikkomusten välillä ole päällekkäisyyksiä, Hunt sanoi.
Kaksi tekijää nyt
Vaikka et ole käyttänyt salasanoja uudelleen, tilisi on silti alttiita raa'alle hyökkäykselle, varsinkin jos salasana on heikko. On myös syytä huomata, että jopa vahvat ja monimutkaiset salasanat voidaan pakottaa raa'asti, varsinkin jos hyökkääjällä on riittävästi laskentaresursseja, aikaa ja motivaatiota. Siksi sinun pitäisi ottaa kaksivaiheinen vahvistus käyttöön kaikissa sitä tarjoavissa palveluissa. Meille onneksi Dropbox on yksi näistä palveluista, ja sen asettaminen on melko helppoa.
"Nämä hyökkäykset ovat yksi syy siihen, että suosittelemme käyttäjiä olemaan käyttämättä salasanoja uudelleen palvelujen välillä. Lisäsuojausasteen vuoksi suosittelemme aina ottamaan käyttöön kaksivaiheisen vahvistuksen tilillesi", Mityagin kirjoitti.
Kaksivaiheisessa vahvistuksessa yhdistetään salasanat tai "jotain mitä tunnet" mobiililaitteella tai "jotain mitä sinulla on" vilpillisten kirjautumisyritysten estämiseksi. Jos olet ottanut käyttöön kaksikerroisen tekijän Dropbox-tililläsi, saat kuusinumeroisen suojakoodin matkapuhelimellasi tai sinulla on koodi, joka luodaan Google Authenticator -sovelluksesta. "Kaksi askelta yhden askeleen sijasta luo vahvemman esteen hyökkääjiä vastaan", Dropbox sanoi.
Suosittelemme salasananhallintaa, kuten LastPass, käyttämään yksilöivien, myös monimutkaisten salasanojen luomista. Mutta vaikka ne voivat hidastaa hyökkääjiä, he eivät ole tyhjiä. Kaksitekijäinen todennus voi olla vähemmän kätevää ja hidasta, mutta se on ylimääräisen vaivan arvoista, jos se estää hyökkääjiä pääsemästä helposti tilillesi.
