Vor zwei Tagen veröffentlichte Dropbox auf seinem
Blog die Meldung, dass die Sicherheit bei Dropbox verbessert wird und es neue Sicherheitsfeatures gibt.
Angestoßen dadurch, dass sich mehr und mehr Dropbox-User gemeldet haben, dass auf Email-Adressen welche von den Benutzern nur für Dropbox genutzt werden mit mal Spam landet, welches die Benutzer gewundert hatte.
Dropbox fand daraufhin heraus, dass ein gestohlenes Passwort von einem Dropbox-Mitarbeiter Account daran schuld war, dass ein „Projekt-Dokument“ mit Email-Adressen von Dropbox-Mitgliedern von dem Mitarbeiteraccount heruntergeladen werden konnte.
So landeten die Mailadressen wahrscheinlich bei den Spamversendern.
Um zu verhindern, dass so etwas erneut passiert und die Sicherheit bei Dropbox erhöht wird, möchte Dropbox nun neue Features einführen bzw. hat diese schon eingeführt:
- Zwei-Faktor Autorisierung: es wird beim Einloggen neben dem Passwort beispielsweise auch noch ein Temporären Code benötigt, welcher zum Handy geschickt wird.
- Neuer, stetig verbesserter Automatismus zum Erkennen von verdächtigen Aktivitäten
- Eine Übersicht über aktive Logins auf dem Dropbox-Konto
- Eine Überprüfung der Passwortsicherheit welche die Aufforderung zur Passwortänderung ausgibt, wenn das Passwort zum Beispiel häufig verwendet wird oder lang nicht geändert wurde
Weiterhin empfiehlt Dropbox die eigene Sicherheit zu erhöhen, indem bei jeder Website ein eigenes, einzigartiges Passwort benutzt wird.
Persönlich denke ich bei solchen Vorfällen, dass es wohl besser ist, seine Daten bei Onlinediensten wie Dropbox zusätzlich zu sichern, indem beispielsweise nur ein verschlüsselter Container mit einem extra Passwort (bspw. ein
TrueCrypt-Container, verschlüsselte Archive oder ähnliches) hochgeladen wird.
Der Nachteil ist natürlich, dass es nicht Transparent für den User ist und zusätzliche Software benötigt wird, welche entsprechend auch auf allen Plattformen und Systemen auf denen man die Daten nutzen will auch lauffähig sein muss.
Es erfordert zwar zusätzlichen Aufwand, doch dadurch ist im Falle, dass der Onlinespeicher geknackt wurde und jemand Fremdes darauf Zugriff hat, zuerst noch der Container entschlüsselt werden, bevor jemand an die Daten herankommt. Sofern der Unbefugte nicht auch noch an das Containerpasswort gekommen ist, dauert das knacken je nach Verschlüsselungsstärke und Algorithmus dann einige Jahre bis Jahrtausende. Zumindest bisher gilt die 256-Bit AES-Verschlüsselung wie es TrueCrypt anbietet mit einem starken Passwort als Sicher.