Computerworld - Dropbox je izpolnil obljubo, ki so jo dalipo izgubi osebnih podatkov pretekli mesec, in uvedel dvostopenjsko avtentifikacijo. Doslej je bil dostop do računa mogoč izključno z uporabniškim imenom (elektronski naslov) in geslom, ki ju napadalci relativno lahko prestrežejo oziroma pridobijo s socialnim inženiringom ali zlonamernimi aplikacijami. Da bi to preprečili ali vsaj otežili, so uvedli preverjanje istovetnosti s SMS-kodo oziroma namenskimi programi.
Kdor bo želel uporabljati novo varnostno storitev, bo moral svojega odjemalca najprej posodobiti na verzijo vsaj 1.5.12. Potem bo na spletni strani Dropbox v svojem računu na zavihku Security (ali na posebni povezavi) vključil pošiljanje enkratne šestmestne kode na telefon, kadar se v račun prijavi nova naprava. Alternativno bo mogoče uporabiti namenske aplikacije, kot so Google Authenticator, Amazon AWS MFA ali Authenticator za Windows Phone, ki opravljajo enako funkcijo. Applovi uporabniki bodo lahko izbrali OATH.
Da bi preprečili izgubo dostopa, bodo uporabniki dobili 16-mestno varnostno geslo, ki bo omogočilo spremembo telefonske številke ali ponastavitev namenskih aplikacij. Dropbox trenutno to možnost razvija dalje, tako da bo kmalu mogoče računalnik, ki je prijavljen v Dropbox, odstraniti s seznama zaupanja vrednih naprav (untrust). Za naslednjo prijavo s tega računalnika bo potrebno zopet pridobiti SMS-kodo. Odzivi uporabnikov so načeloma pozitivni.
Čeprav ima tud ta dvostopenska avtentikacija en velik flaw pri Googlu. Sistem, ki je že avtenticiran je dost samo da veš geslo in že lahko spremeniš mobilno številko, geslo, you name it.
Sprememba podatkov kot so geslo in mobilna številka bi moral striktno VEDNO zahtevat avtentikacijo preko mobilca in bi tko preprečili vse zlorabe. Trenutna oblika pa če imaš remote al pa lokalni dostop do kište, lahko hijackaš account, da uporabnika povsem zakleneš ven kljub dvostopensjki avtentikaciji. Me prav zanima kako ima Dropbox to narejeno...
Čeprav ima tud ta dvostopenska avtentikacija en velik flaw pri Googlu. Sistem, ki je že avtenticiran je dost samo da veš geslo in že lahko spremeniš mobilno številko, geslo, you name it.
Sprememba podatkov kot so geslo in mobilna številka bi moral striktno VEDNO zahtevat avtentikacijo preko mobilca in bi tko preprečili vse zlorabe. Trenutna oblika pa če imaš remote al pa lokalni dostop do kište, lahko hijackaš account, da uporabnika povsem zakleneš ven kljub dvostopensjki avtentikaciji. Me prav zanima kako ima Dropbox to narejeno...
Torej je že dovolj, da ti pove geslo in ti dodeli pravice za remote dostop do računalnika in že mu lahko account izmakneš. Če mu rečeš še, da ti še SMS od Googla forwarda pa se lahko še na svoji mašini logiraš. Velik flaw.
Kar zajbavajte se ampak ne razumete, da vsak sistem do katerega lahko fizično pristopiš in je že avtenticiran lahko veselo spreminjaš kritične login podatke in to je ogromen flaw by design. Sploh ker večina browserjev shranjuje gesla in ker bodimo iskreni večina ima shranjene zaradi praktičnosti.
Remote pa bi se dajal izvajat s črvi in boti, preverjat cookije če user uporablja Google storitve in ostale nečednosti pa tud ne morejo bit prevelika ovira.
Tko da ja, kakorkoli obrneš je to velika varnostna luknja. Sprememba gesla in mobilne številke bi morala VEDNO zahtevat SMS avtentikacijo.
Največja varnostni design-flaw je za uporabnika težak način avtentikacije. Naj bojo tvoji sistemi še tolk secure in ohinsploh - će bodo annoying bo user iskal bližnice, kako jih olajšat - listki z ultravarnimi gesli na monitorju, avtenticirana prijava in nezaklenjena postaja, ko grem na WC/malco in podobne finte ki vso 'varnost sistema' pošljejo na kup gnoja.
Varnostni sistem mora bit v prvi fazi tako enostaven za uporabo da je praktično za uporabnika neviden. Šele potem, se lahko začneš zanašat da se zares uporablja, kot je bil namenjen.
Pin + časovno spremenljivo geslo sta dober pristop.
Največja varnostni design-flaw je za uporabnika težak način avtentikacije. Naj bojo tvoji sistemi še tolk secure in ohinsploh - će bodo annoying bo user iskal bližnice, kako jih olajšat - listki z ultravarnimi gesli na monitorju, avtenticirana prijava in nezaklenjena postaja, ko grem na WC/malco in podobne finte ki vso 'varnost sistema' pošljejo na kup gnoja.
Varnostni sistem mora bit v prvi fazi tako enostaven za uporabo da je praktično za uporabnika neviden. Šele potem, se lahko začneš zanašat da se zares uporablja, kot je bil namenjen.
Pin + časovno spremenljivo geslo sta dober pristop.
To ni čist res. Googlov sistem je bil na samem začetku totalno idiotski. Ampak zdej je razen omenjenega flawa povsem uporabna zadeva. Vneseš geslo in dobiš na telefon 6 mestno one time kodo. Vneseš v polje in to je to. Lažje že skor težko narediš.
Kaj vi nimate zraven mize, kjer imate računalnik, sekiro??
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|
@dmok: Kaj če nekdo pride nad tabo s kijem za baseball?
Ne vem če razumem tvojo pripombo, jaz sem odgovarjal na trditev RejZoR-ja, da je varnostna luknja, če lahko spremeniš telefonsko številko brez SMS potrditve. Ponavadi tisti, ki telefon izgubi ali mu ga ukradejo težko sprejema SMSje na ukradeno/izgubljeno številko.
Tvoje sporočilo sem razumel kot da tudi telefon ne poveča varnosti, ker ti ga lahko nekdo ukrade.
Imaš pa prav glede tega, da si brez telefona potem v težavah. Se mi je že zgodilo pri Battle.net, da jim servis za pošiljanje SMSov ni deloval in nisem mogel uporabljati računa.
Če mu rečeš še, da ti še SMS od Googla forwarda pa se lahko še na svoji mašini logiraš. Velik flaw. 
