Mellékleteink: HUP | Gamekapocs
Keres
Július 19-én SYSADMINDAY: egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket!

Végre: kétlépcsős azonosítást kap a Dropbox

Dojcsák Dániel, 2012. augusztus 27. 12:19
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

A Dropbox ázsióját is megtépázta már több jelszólopás és egyéb biztonsági probléma. Épp ideje volt bevezetni a Google-nél már jól bizonyított kétlépcsős azonosítást. Az új módszert a hivatalos fórumon jelentette be a cég, hamarosan minden felhasználó számára választhatóvá válik.

hirdetés

Nemrég kínos biztonsági incidens érte a Dropboxot, egy munkatárs fiókját jelszólopással törték fel. A cég egyik reakciója a nagyobb biztonságot jelentő kétlépcsős azonosítás bevezetése, de az opcionális biztonsági beállítás nem lesz soha kötelező senki számára, leginkább azért, mert a kétlépcsős beléptetés minden esetben kényelmetlenséggel jár - igaz, egyben biztonságot is ad.

Még egy jelszó!

A plusz biztonsági réteg a Dropbox esetében is ugyanúgy működik, mint a Google-nél, a Dropbox nem akarta feltalálni a spanyolviaszt, pontosan követte a jól bevált mintát. A kliensekben vagy weben keresztüli bejelentkezéskor a felhasználó a mobiljára kap egy SMS-t, amiben egy számokból álló, hatjegyű másodlagos azonosító jelszó van. A bejelentkezés ennek begépelése után fejezhető csak be.

Ha valamiért az SMS nem elérhető, például nem kapjuk meg az üzenetet vagy nincs nálunk a telefon, akkor használható bármilyen szabványos TOTP (Time-based One-Time Password) rendszerű időalapú azonosítókód-generátor, mint például a Google Authenticator. Ez elérhető Androidra, iOS-re és BlackBerry OS-re is, de használat előtt be kell állítani a személyes kulcsot, így vészmegoldásként ez már nem segít, ha valaki nem gondolkodott előre. A harmadik lehetőség szintén előrelátást igényel, a Google-fiókhoz hasonlóan itt is vannak nem időalapú, viszont csak egyszer használatos kódok, amit a fizikai világban jól elrejtve őrizhetünk a legrosszabb esetekre. Ezt az egyszer használatos 16-karakteres kódot a kétlépcsős azonosítás bekapcsolásakor kapjuk meg, érdemes valóban lejegyezni és eltenni egy biztonságos helyre.

Ha fontos

Az elmúlt időszakban több esetben fordult elő, hogy valakinek a Dropbox-fiókja egyszerű jelszólopás révén kompromittálódott. A tároló biztonsága kritikusan fontos, s mivel a hozzáférés a weben keresztül bárhonnan kezdeményezhető, ezért a klasszikus jelszavas védelem nagyon kevés. Egy otthoni, hálózaton nem megosztott PC beléptetésekor egy normál jelszó még elegendő, hiszen hiába tudja valaki a jelszót, be kell jutnia a lakásba is, ha hozzá szeretne férni az adatokhoz. Mivel itt a fizikai hozzáférés nem előfeltétel, ezért illik helyette egy másik faktort bevezetni. A felhasználó az SMS-ek miatt már arról is értesülni fog, ha valaki a jelszavával megpróbált belépni.

Ha pedig valaki már egyébként is foglalkozik a fiókjának biztonsági felkészítésével, akkor érdemes a jelszavak közt is rendet tenni. Az egyszerű, könnyen feltörhető jelszavak helyett a legtöbb helyen ajánlott, de van ahol kötelező erős karaktersorokat használni. A legfontosabb szempont, hogy legalább 8-10 karakteres, számokat, kis- és nagybetűket és speciális karaktereket is tartalmazó kifejezés legyen.

Az egyik iskola szerint teljesen véletlenszerű kódsorokat érdemes alkalmazni és azokat megfelelő biztonságú, titkosított jelszótárolókban védeni (például: mSecure), egy másik irányzat szerint viszont hatékony az is, ha négy számunkra nyilvánvaló, de nem összefüggő szót használunk jelszóként, például azt, hogy “RubikFlakonCicaSzeptember”. Ez kellően hosszú karaktersor, az algoritmusok számára pedig ugyanannyira értelmezhetetlen, mint a “ZfGXXt55ju” forma. Az emberi tényezők figyelembe vételével érdemes választani: ha valakinek jó a memóriája, akkor a bonyolult kódok irányába is mehet, aki nehezen jegyez meg ilyeneket, az inkább válassza az új jelszótrendet, minthogy papírfecniken felírva hurcolja magával a kódjait, adva egy pofont az egész biztonság kérdésnek.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
A IT-üzemeltetők világnapján egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket az Ankertbe.