Dropbox hält Nutzer zu Wechsel alter Passwörter an

Es ist auf einen kursierenden Datensatz von Mitte 2012 gestoßen. Die Passwörter sind gehasht, und es gibt bisher keine Anzeichen für Missbrauch. Anwender mit dermaßen alten Zugangscodes werden beim nächsten Log-in zu einer Aktualisierung aufgefordert.

Dropbox fordert Nutzer „vorsorglich“ zu einem Passwortwechsel auf, wenn ihr Zugangscode seit mindestens Mitte 2012 unverändert ist. Andernfalls bestehe ein unnötiges Sicherheitsrisiko.

Dropbox (Bild: Dropbox)Das Cloud-Storage-Unternehmen betont, es habe keinen konkreten Vorfall gegeben und es liege kein Verdacht auf Missbrauch vor. Es handle sich nur um einen pragmatischen Hinweis. Im Rahmen von Routinemaßnahmen sei man aber auf einen kursierenden Datensatz aus dem Jahr 2012 gestoßen.

„Unsere Sicherheitsteams halten immer nach Bedrohungen für unsere Nutzer Ausschau“, schreibt Sicherheitschef Patrick heim. „So haben wir von einem alten Satz Dropbox-Nutzerdaten (E-Mail-Adressen plus gehashte Passwörter mit Salt) erfahren, der nach unserer Schätzung von 2012 stammt.“ Es gebe keine Hinweise auf einem Missbrauch dieser Daten.

Nutzer mit älteren Zugangsdaten werden aber sicherheitshalber beim nächsten Log-in zu einer Aktualisierung aufgefordert. Zugleich wirbt Dropbox für seine Zwei-Faktor-Authentifizierung. Seit August 2015 unterstützt es in diesem Bereich auch USB-Sicherheitskeys nach der Spezifikation Universal 2nd Factor, kurz U2F – einen Standard der FIDO Alliance. Bekanntester Anbieter solcher Sticks ist Yubico. Anders als SMS- und App-Codes muss nichts eingetippt werden, und der Schlüssel lässt sich weder abfangen noch kopieren.

ANZEIGE

Open Telekom Cloud: Ressourcen auf Abruf

Von Capex zu Opex: Mit IT-Kapazitäten aus der Cloud statt von eigenen Servern verwandeln Unternehmen gerade verstärkt starre Investitionskosten in dynamische Ausgaben, die sich dem Geschäftsverlauf anpassen – und werden damit flexibler. Immer beliebter: Infrastructure-as-a-Service (IaaS) aus der Open Telekom Cloud.

Vor zwei Jahren hatten Hacker behauptet, bei Dropbox eingebrochen zu sein und fast 7 Millionen Zugangsdaten entwendet zu haben. Dropbox bestritt dies. Es habe keinen Vorfall gegeben, die Daten müssten aus anderen Quellen zusammengeklaubt worden sein.

Eine ernsthafte Sicherheitslücke war 2013 einmal aufgetreten. Damals führte versehentlich eingespielter Code dazu, dass sich jeder in jedes Dropbox-Konto einloggen konnte, ohne Zugangsdaten zu benötigen. Die Lücke wurde nach einigen Stunden gestopft.

Im gleichen Jahr trat eine Sicherheitslücke unter Android auf. Sie steckte in Dropbox‘ Software Development Kits. Unter bestimmten Umständen konnten Angreifer sie ausnutzen, um Daten abzugreifen, die von Android-Nutzern über Drittanbieter-Apps neu auf Dropbox hochgeladen wurden. Entdeckt wurde der Fehler von IBM-Mitarbeitern.

[mit Material von Natalie Gagliordi, ZDNet.com]

Tipp: Sind Sie ein Fachmann in Sachen Cloud Computing? Testen Sie Ihr Wissen – mit 14 Fragen auf ITespresso.de.

Themenseiten: Authentifizierung, Cloud-Computing, Dropbox, Storage

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Florian Kalenda
Autor: Florian Kalenda
Leitender Redakteur ZDNet.de
Florian Kalenda
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Dropbox hält Nutzer zu Wechsel alter Passwörter an

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *