Відео: Mastering Dropbox - 2018 (Вересень 2024)
Якщо ви використовуєте Dropbox для зберігання своїх файлів, вважайте це повідомлення нагадуванням, що вам слід використовувати двофакторну автентифікацію для хмарної служби.
У неділю невідома особа розмістила сотні імен користувачів та паролів, які нібито належать обліковим записам Dropbox, на веб-сайті Pastebin, що надає обмін текстами. Користувач Pastebin сказав, що зразок являє собою невелику частину списку, що складається з аж 7 мільйонів порушених облікових записів Dropbox.
"Ми будемо продовжувати випускати більше для громадськості, коли надійдуть пожертви, покажемо вашу підтримку", - йдеться у повідомленні Pastebin, що супроводжує дамп паролів.
Dropbox не зламаний
Якщо ви переживаєте, що ваші файли та фотографії були вкрадені, Dropbox сказав, що нічого страшного.
"Ваші речі в безпеці", - написав у своєму блозі член служби безпеки Dropbox Антон Мітягін, який стверджує, що Dropbox не був зламаний. "Імена користувачів та паролі, на які посилаються в цих статтях, були викрадені з непов'язаних служб, а не з Dropbox."
Хмарний сервіс стверджує, що зловмисники викреслили комбінації імен користувача та пароля з інших порушених сервісів, а потім спробували увійти на різні сайти в Інтернеті, включаючи Dropbox. Оскільки повторне використання паролів розповсюджується, незважаючи на неодноразові попередження не робити, зловмисники змогли скласти список облікових даних облікових записів.
Навіть якщо Dropbox сам не був порушений, чи не піддаються мої файли ризику, оскільки дані облікового запису були викриті? Dropbox стверджував, що це не так, оскільки він регулярно контролює всі облікові записи, щоб відстежувати подібну підозрілу активність входу. Dropbox також стверджує, що перевірив списки, розміщені на Pastebin, і підтвердив, що вони не пов'язані з обліковими записами користувачів.
"У нас є заходи щодо виявлення підозрілої активності входу, і ми автоматично скидаємо паролі, коли це відбувається", - написав Мітягін.
Повторне використання пароля погано
Якщо ваш обліковий запис є одним із тих, кого зловмисники визначили, Dropbox, ймовірно, змінив ваші паролі. Отже, перш за все, перестаньте використовувати свої паролі в усіх службах. Не використовуйте той самий пароль, навіть якщо ви думаєте, що облікові записи не містять конфіденційну інформацію та не важливі.
На жаль, незважаючи на нещодавні порушення щодо виявлення паролів користувачів, люди, схоже, не звертаються. Трой Хант, дослідник безпеки, що стоїть за сайтом HaveIBeenPwned.com, заявив, що минулого місяця SecurityWatch розраховував, що він очікував певних перекриттів між списками паролів за різних порушень даних. База даних HaveIBeenPwned містить списки паролів з більш ніж 30 сайтів і дозволяє користувачам перевіряти, чи є їхні акаунти серед тих, хто був виставлений.
"Ми просто не змінили звички до пароля", щоб не було перекриттів між порушеннями даних, сказав Хант.
Двофакторний зараз
Навіть якщо ви не використовували паролі, ваш обліковий запис все ще вразливий до жорстоких атак, особливо якщо пароль слабкий. Варто також зазначити, що навіть міцні та складні паролі можуть бути вимушеними, особливо якщо у зловмисника є достатньо обчислювальних ресурсів, часу та мотивації. Ось чому ви повинні ввімкнути двоетапну перевірку на будь-якій службі, яка її пропонує. На щастя для нас, Dropbox - одна з таких служб, і налаштувати її досить просто.
"Такі напади є однією з причин, чому ми наполегливо рекомендуємо користувачам не використовувати повторно паролі через сервіси. Для додаткового рівня безпеки ми завжди радимо включити двоетапну перевірку у вашому обліковому записі", - написав Mityagin.
Двоетапна перевірка поєднує паролі, або "щось, що ви знаєте", з мобільним пристроєм або "щось у вас є", щоб запобігти шахрайським спробам входу. Якщо ви ввімкнули двофакторний обліковий запис Dropbox, на мобільний телефон ви отримаєте шестизначний код безпеки або згенеруєте код із програми Google Authenticator. "Проведення двох кроків, а не одного, створює сильніший бар'єр проти нападників", - сказав Dropbox.
Ми рекомендуємо використовувати менеджер паролів, такий як LastPass, щоб полегшити генерацію унікальних паролів, які також є складними. Але, хоча вони можуть уповільнити нападників, вони не є надійними. Двофакторна автентифікація може бути менш зручною та повільною, але варто докласти додаткових зусиль, якщо вона не дозволить зловмисникам легко вторгнутись у ваш рахунок.
