image

Dropbox wil meer gebruikers met twee factor-authenticatie

zaterdag 2 juli 2016, 08:40 door Redactie, 9 reacties

Dropbox wil dat meer gebruikers hun account met twee factor-authenticatie beveiligen, aangezien het aantal gebruikers dat dit nu heeft gedaan te laag is, zo laat de cloudopslagdienst in een interview met Security.NL weten. We spraken met Mark Crosbie, Trust en Security Manager bij Dropbox.

De afgelopen weken verschenen de databases van allerlei grote websites online die al in het verleden waren gehackt. Aanvallers kregen zo de beschikking over miljoenen wachtwoorden en e-mailadressen. Gebruikers die hetzelfde wachtwoord voor meerdere online diensten en websites gebruiken lopen het risico dat aanvallers met de gestolen gebruikersnamen en wachtwoorden ook bij andere diensten proberen in te loggen. De afgelopen periode probeerden aanvallers op deze manier gebruikers van Netflix, Amazon, TeamViewer, cloudback-updienst Carbonite en computerbeheerdienst GoToMyPC aan te vallen. Deze diensten besloten in sommige gevallen van alle gebruikers het wachtwoord te resetten.

Ook Dropbox krijgt met dergelijke aanvallen te maken, zo stelt Crosbie. Om de impact van dergelijke aanvallen te verkleinen zoekt het beveiligingsteam van Dropbox proactief naar gelekte databases en lijsten met gestolen inloggegevens. Daarnaast wordt eraan de achterkant naar verdacht gedrag gekeken om bijvoorbeeld grootschalige aanvallen met gestolen inloggegevens te detecteren.

In het geval Dropbox misbruik vermoedt wordt het account van de betreffende gebruikers proactief vergrendeld. “Gebruikers reageren hier heel positief op”, aldus Crosbie. Na het verschijnen van gestolen databases op internet is er volgens Crosbie wel een kleine piek in het aantal aanvallen zichtbaar waarbij wordt geprobeerd om met de gestolen inloggegevens op Dropbox-accounts in te loggen, maar valt de omvang mee. "De meeste criminelen weten dat dit gegevens van oudere datalekken zijn en zoeken daarom naar iets nieuws."

Ruis

Niet alleen gebruikers zijn de dupe van dergelijke grote datalekken, ook bedrijven kunnen er last van krijgen. Volgens Crosbie is het lastig om de echte datalekken van de “ruis” te onderscheiden. “We zien veel cybercriminelen die van andere cybercriminelen profiteren.” Zo worden gegevens van oudere datalekken als een nieuw datalek aangeboden. “Dat zorgt voor veel verwarring en mensen weten niet meer wat ze moeten geloven”, aldus Crosbie. Bedrijven kunnen hierdoor op den duur alle meldingen van datalekken negeren, ook de legitieme.

Twee-factor authenticatie

Om het lastiger voor aanvallers te maken ondersteunt Dropbox net als andere partijen twee-factor authenticatie. In dit geval moet er naast het wachtwoord met een aanvullende code, verkregen via sms of authenticator, worden ingelogd. "Net als andere grote internetbedrijven moedigen we gebruikers aan om twee-factor authenticatie te gebruiken", zegt Crosbie. Ondanks de extra beveiliging die twee factor-authenticatie biedt, hebben veel gebruikers dit niet ingeschakeld.

Dropbox wil geen exact percentage vertellen, maar wel dat het om 'single digits' gaat, dus minder dan 10%. Ook stelt de opslagaanbieder dat dit te laag is. Uit een onderzoek onder gebruikers van Google dat vorig jaar werd gepresenteerd (pdf) bleek voor 6,4% van de Google-accounts twee-factor authenticatie was ingeschakeld. "Er is één ding dat ik aan al mijn vrienden en familie vraag: of ze alsjeblief twee-factor authenticatie voor al hun diensten willen instellen", laat Crosbie weten. Hij benadrukt dat het belangrijk is om tegen mensen te blijven zeggen dat ze dit moeten doen.

"We werken in een wereld waar we het gebruik van twee-factor authenticatie aanmoedigen, maar we moeten ook beseffen dat veel mensen dit niet zullen doen. Elk beveiligingssysteem dat we intern ontwikkelen gaat dan ook alleen uit van gebruikers die deze extra stap niet willen doen. We moeten dus ook deze gebruikers kunnen beschermen." Wel is er volgens Crosbie een trend zichtbaar waarbij mensen na een groot datalek twee-factor authenticatie instellen. "Maar ongeacht of er een datalek heeft plaatsgevonden blijven we erop hameren dat mensen dit moeten inschakelen."

Reacties (9)
02-07-2016, 10:40 door Anoniem
De juiste titel van dit artikel zou moeten zijn: "Dropbox wil meer telefoonnummers van gebruikers achterhalen voor bigdata en marketingdoeleinden".
02-07-2016, 16:27 door Anoniem
Dropbox wil mijn telefoonnummer? Dat gaat niet gebeuren. Dag Dropbox.
03-07-2016, 17:45 door Anoniem
Byebye Dropbox , hier trappen we dus niet in he .
04-07-2016, 07:39 door Erwin_
Door Anoniem: Dropbox wil mijn telefoonnummer? Dat gaat niet gebeuren. Dag Dropbox.

Er zijn maar weinig mensen die er bij stil staan dat zij het product zijn, en die dropbox zelf. Zou toch eens duidelijker moeten worden in de wereld.
04-07-2016, 08:34 door Anoniem
Door Anoniem: De juiste titel van dit artikel zou moeten zijn: "Dropbox wil meer telefoonnummers van gebruikers achterhalen voor bigdata en marketingdoeleinden".

Want het is alleen mogelijk om two-factor auth te krijgen met een sms.... Begin toch niet meteen te roeptoeteren en kijk eerst eens naar de opties. Je kan ook via een authenticator app werken. Hierbij krijgt dropbox geen ene fluit van je.
04-07-2016, 13:25 door Anoniem
Door Anoniem: De juiste titel van dit artikel zou moeten zijn: "Dropbox wil meer telefoonnummers van gebruikers achterhalen voor bigdata en marketingdoeleinden".
Nope https://www.dropbox.com/en/help/363#app
Je kunt gewoon een code-generator gebruiken, en er zijn meerdere open-source versies beschikbaar als je graag door de broncode wil kijken.
05-07-2016, 10:07 door Anoniem
Wat een nutteloze reacties weer. "Ze willen mijn telefoonnummer! Ja doei!"
Kom op zeg. De 2FA biedt een betere bescherming. Die kan je gewoon via een code generator instellen.
Wel zo makkelijk. Het opgeven van je telefoonnummer is optioneel.
12-07-2016, 08:11 door Anoniem
Door Anoniem: Wat een nutteloze reacties weer. "Ze willen mijn telefoonnummer! Ja doei!"
Kom op zeg. De 2FA biedt een betere bescherming. Die kan je gewoon via een code generator instellen.
Wel zo makkelijk. Het opgeven van je telefoonnummer is optioneel.

Mee eens, ik gebruik de generator app al tijden en werkt prima, nergens staat mijn telefoon nummer van Dropbox.
18-07-2016, 12:02 door Anoniem
Dropbox, was dat niet die cloud dienst die zelf de phishingpagina om op (dropbox) in te loggen hostte. Nee dank u voor mij geen dropbox.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.