Gehackte Dienste

Stichjahr 2012: Dropbox setzt ältere Passwörter zurück

Dropbox-Nutzer, die ihr Passwort schon seit Jahren oder noch nie geändert haben, sollten sich auf eine Überraschung beim Einloggen einstellen. Der Cloud-Speicher-Dienst setzt die Passwörter, die aus der Mitte des Jahres 2012 stammen oder noch älter sind, zurück. Hintergrund ist ein Datenleck, das es damals gegeben hat, das allerdings erst jetzt entdeckt worden ist. Dropbox geht zwar davon aus, dass „keine Accounts kompromittiert wurden.“ Trotzdem sollten die User ihre Passwörter zurücksetzen. Es handele sich „um eine präventive Sicherheitsmaßnahme.“

Hinweise per Mail und beim Einloggen
Bedauerlicherweise wirkt das Verfahren jedoch nicht sonderlich gut durchdacht. Nutzer, die ihre Passwörter ändern sollten, bekommen eine Mail mit einem entsprechenden Hinweis. Zudem wird ihnen beim Einloggen ein entsprechender Hinweis angezeigt. Nur, wer beide Benachrichtigungen erhält, muss sein Passwort tatsächlich ändern. Solche Nutzer, die lediglich eine Email erhalten, haben hingegen keinen Zwang, um tätig zu werden, so Dropbox.

Wer nach dem Einloggen einen entsprechenden Hinweis sieht, muss sein Passwort zurücksetzen: Hierfür ist die Email-Adresse in ein Feld einzugeben, die mit dem Konto verknüpft ist. An jene wird anschließend eine Benachrichtigung mit einem Link zum Zurücksetzen des Passworts geschickt. Auf der Zielseite angekommen, muss das neue Passwort eingegeben, bestätigt und über den Klick auf den Button „Speichern“ gesichert werden.

Dropbox weist zudem darauf hin, dass die Nutzer kein Passwort verwenden sollten, dass sie bereits an anderer Stelle einsetzen. Sollte dies beim älteren und inzwischen geänderten Authentifizierungsbegriff der Fall gewesen sein, so rät der Cloud-Speicher-Dienst dazu, überall dort, wo das alte Passwort in Betrieb war, ebenfalls eine Änderung vorzunehmen.

Mehr Sicherheit durch zweistufiges Anmelde-Verfahren
Dropbox empfiehlt überdies, die Zwei-Faktor-Authentifizierung einsetzen, um das Konto weiter abzusichern. Ist diese in Betrieb, muss bei jedem Login zusätzlich ein Sicherheitscode eingegeben werden. Dieser wird entweder per SMS an eine hinterlegte Handynummer versandt oder über eine Sicherheitsapp generiert. In Frage hierfür kommt beispielsweise Google Authentificator. Man findet dieses zweistufige Anmeldeverfahren im Reiter „Security“ in den eigenen Kontoeinstellungen.

Post Comment