וִידֵאוֹ: Как синхронизировать или перенести хранилище (Google drive, OneDrive, DropBox) (נוֹבֶמבֶּר 2024)
אם אתה משתמש ב- Dropbox כדי לאחסן את הקבצים שלך, שקול הודעה זו תזכורת שעליך להשתמש באימות דו-גורמי עבור שירות הענן.
אדם לא ידוע פרסם ביום שני מאות שמות משתמש וסיסמאות שלכאורה היו שייכים לחשבונות Dropbox. המשתמש ב- Pastebin אמר כי המדגם היה חלק זעיר מהרשימה המורכבת מ -7 מיליון חשבונות Dropbox שנפרצו.
"אנו נמשיך לשחרר יותר לציבור עם כניסת התרומות ונראה את תמיכתך", נכתב בהודעת Pastebin המלווה את השלכת הסיסמאות.
Dropbox לא פרוץ
במקרה שאתה חושש שהתיקים והתמונות שלך נגנבו, Dropbox אמרה שאין מה לדאוג.
"הדברים שלך בטוחים", כתב אנטון מיטיגין, חבר בצוות האבטחה של Dropbox, בפוסט בבלוג וטען כי Dropbox לא נפרצה. "שמות המשתמש והסיסמאות שהוזכרו במאמרים אלה נגנבו משירותים שאינם קשורים, ולא מ- Dropbox."
שירות הענן טוען שתוקפים שלפו שילובי שם משתמש וסיסמא משירותים אחרים שהפרו ואז ניסו להיכנס לאתרים שונים ברחבי האינטרנט, כולל Dropbox. מכיוון ששימוש חוזר בסיסמה משתולל למרות אזהרות חוזרות ונשנות שלא, התוקפים הצליחו להרכיב רשימה של אישורי חשבון.
גם אם Dropbox עצמה לא הופרה, האם הקבצים שלי לא נמצאים בסיכון מכיוון שנחשפו אישורי חשבוני? Dropbox טען שזה לא המקרה שכן היא עוקבת בקביעות אחר כל החשבונות כדי לעקוב אחר סוג כזה של פעילות התחברות חשודה. Dropbox טענה גם כי בדקה את הרשימות שפורסמו ב- Pastebin ואישרה שהן אינן משויכות לחשבונות משתמש.
"יש לנו אמצעים לגילוי פעילות התחברות חשודה ואנחנו מאפסים סיסמאות באופן אוטומטי כשזה קורה", כתב מיטיטיג.
שימוש חוזר בסיסמה רע
אם חשבונך הוא אחד מאותם התוקפים זיהו, סביר להניח ש- Dropbox שינה את הסיסמאות שלך. אז קודם כל, הפסיקו לעשות שימוש חוזר בסיסמאות שלכם בין שירותים. אל תשתמש באותה סיסמה, אפילו אם אתה חושב שהחשבונות אינם מכילים מידע רגיש ואינם חשובים.
למרבה הצער, למרות הפרות האחרונות שחשפו סיסמאות משתמשים, נראה שאנשים לא תופסים. טרוי האנט, חוקר האבטחה שמאחורי HaveIBeenPwned.com, אמר בחודש שעבר ל- SecurityWatch כי הוא ציפה לחפיפה בין רשימות סיסמאות מהפרות נתונים שונות. בסיס הנתונים של HaveIBeenPwned מכיל רשימות סיסמאות של יותר מ -30 אתרים ומאפשר למשתמשים לבדוק אם חשבונותיהם נמנים עם אלה שנחשפו.
"פשוט לא שינינו מספיק הרגלי סיסמא" כדי שלא יהיו חפיפה בין הפרות נתונים, אמר האנט.
דו-פקטור עכשיו
גם אם לא השתמשת בסיסמאות חוזרות, חשבונך עדיין פגיע להתקפות בכוח, במיוחד אם הסיסמה חלשה. כמו כן, ראוי לציין כי אפילו סיסמאות חזקות ומורכבות יכולות להיות כפויות ברוטו, במיוחד אם לתוקף יש מספיק משאבי מחשוב, זמן ומוטיבציה. זו הסיבה שכדאי להפעיל אימות דו-שלבי בכל שירות שמציע אותו. למזלנו, Dropbox הוא אחד מאותם שירותים ודי בקלות להתקין אותו.
Mityagin כתב "התקפות כמו אלה הן אחת הסיבות לכך שאנו ממליצים בחום למשתמשים לא לעשות שימוש חוזר בסיסמאות בין שירותים. לקבלת שכבת אבטחה נוספת אנו ממליצים תמיד לאפשר אימות דו-שלבי בחשבונך".
אימות דו-שלבי משלב סיסמאות, או "משהו שאתה יודע", עם מכשיר נייד, או "משהו שיש לך", כדי למנוע ניסיונות כניסה להונאה. אם הפעלת שני גורמים בחשבון Dropbox שלך, תקבל קוד אבטחה בן שש ספרות בטלפון הנייד שלך או שנוצר קוד מאפליקציית המאמת של Google. "יש שני צעדים ולא רק אחד יוצר מחסום חזק יותר נגד התוקפים", אמר Dropbox.
אנו ממליצים להשתמש במנהל סיסמאות כגון LastPass כדי להקל על יצירת סיסמאות ייחודיות שגם הן מורכבות. אך למרות שהם עשויים להאט את התוקפים, הם אינם חסרי תקלות. אימות דו-גורמי יכול להיות פחות נוח ואיטי, אבל זה שווה את המאמץ הנוסף אם הוא מונע מהתוקפים לפרוץ בקלות לחשבונך.