Video: Verbeter de beveiliging van je WordPress-website (November 2024)
Als je Dropbox gebruikt om je bestanden op te slaan, overweeg dan dit bericht een herinnering dat je tweefactorauthenticatie moet gebruiken voor de cloudservice.
Een onbekende persoon heeft op maandag honderden gebruikersnamen en wachtwoorden gepost die naar verluidt behoren tot Dropbox-accounts op de tekstuitwisselingssite Pastebin. De Pastebin-gebruiker zei dat het monster slechts een fractie was van een lijst met maar liefst 7 miljoen gecompromitteerde Dropbox-accounts.
"We zullen meer aan het publiek vrijgeven wanneer donaties binnenkomen, toon uw steun", zei de aankondiging van Pastebin bij de wachtwoorddump.
Dropbox niet gehackt
In het geval dat je je zorgen maakt dat je bestanden en foto's zijn gestolen, zei Dropbox dat je je nergens zorgen over hoeft te maken.
"Je spullen zijn veilig", schreef Anton Mityagin, lid van het beveiligingsteam van Dropbox, in een blogpost waarin stond dat Dropbox niet was gehackt. "De gebruikersnamen en wachtwoorden waarnaar in deze artikelen wordt verwezen, zijn gestolen van niet-gerelateerde services, niet van Dropbox."
De cloudservice claimt dat aanvallers combinaties van gebruikersnaam en wachtwoord van andere inbreukmakende services hebben gemaakt en vervolgens probeerde in te loggen op verschillende sites op internet, waaronder Dropbox. Omdat wachtwoordhergebruik ongebreideld blijft ondanks herhaalde waarschuwingen, konden aanvallers een lijst met accountreferenties samenstellen.
Zelfs als Dropbox zelf niet is geschonden, lopen mijn bestanden dan geen risico omdat mijn inloggegevens zijn blootgelegd? Dropbox beweerde dat dit niet het geval was, omdat het regelmatig alle accounts bewaakt om dit soort verdachte inlogactiviteiten bij te houden. Dropbox beweerde ook dat het de op Pastebin geposte lijsten heeft gecontroleerd en bevestigd dat ze niet zijn gekoppeld aan gebruikersaccounts.
"We hebben maatregelen getroffen om verdachte inlogactiviteiten te detecteren en we stellen automatisch wachtwoorden opnieuw in als dit gebeurt", schreef Mityagin.
Wachtwoord hergebruik is slecht
Als je account een van de accounts is die de aanvallers hebben geïdentificeerd, heeft Dropbox waarschijnlijk je wachtwoorden gewijzigd. Dus stop in de eerste plaats met het hergebruiken van uw wachtwoorden voor verschillende services. Gebruik niet hetzelfde wachtwoord, zelfs als u denkt dat de accounts geen gevoelige informatie bevatten en niet belangrijk zijn.
Helaas lijken mensen, ondanks recente inbreuken die gebruikerswachtwoorden blootleggen, niet aan te slaan. Troy Hunt, de beveiligingsonderzoeker achter HaveIBeenPwned.com, vertelde SecurityWatch vorige maand dat hij enige overlappingen verwachtte tussen wachtwoordlijsten van verschillende datalekken. De database van HaveIBeenPwned bevat wachtwoordlijsten van meer dan 30 sites en laat gebruikers controleren of hun accounts behoren tot degenen die zijn blootgesteld.
"We hebben gewoon de wachtwoordgewoonten niet genoeg veranderd", zodat er geen overlappingen zijn tussen datalekken, zei Hunt.
Twee factoren nu
Zelfs als u geen wachtwoorden opnieuw hebt gebruikt, is uw account nog steeds kwetsbaar voor brute-force aanvallen, vooral als het wachtwoord zwak is. Het is ook vermeldenswaard dat zelfs sterke en complexe wachtwoorden bruut kunnen worden geforceerd, vooral als de aanvaller over voldoende computerbronnen, tijd en motivatie beschikt. Daarom moet u tweestapsverificatie inschakelen voor elke service die dit aanbiedt. Gelukkig is Dropbox een van die services en is het vrij eenvoudig om het in te stellen.
"Dit soort aanvallen is een van de redenen waarom we gebruikers ten zeerste aanmoedigen om wachtwoorden niet opnieuw te gebruiken voor verschillende services. Voor een extra beveiligingslaag raden we altijd aan tweestapsverificatie in te schakelen voor uw account, " schreef Mityagin.
Tweestapsverificatie combineert wachtwoorden, of "iets dat u weet" met een mobiel apparaat of "iets dat u hebt" om frauduleuze inlogpogingen te voorkomen. Als je two-factor op je Dropbox-account hebt ingeschakeld, ontvang je een zescijferige beveiligingscode op je mobiele telefoon of krijg je een code die wordt gegenereerd vanuit de Google Authenticator-app. "Het hebben van twee stappen in plaats van slechts één creëert een sterkere barrière tegen aanvallers, " zei Dropbox.
We raden aan om een wachtwoordbeheerder zoals LastPass te gebruiken om het gemakkelijker te maken unieke wachtwoorden te genereren die ook complex zijn. Maar hoewel ze aanvallers kunnen vertragen, zijn ze niet waterdicht. Tweefactorauthenticatie kan minder handig en langzaam zijn, maar het is de extra moeite waard als het voorkomt dat aanvallers gemakkelijk inbreken in uw account.
