Prijavi se z GoogleID

» »

Dropbox dobil dvostopenjsko avtentifikacijo

Dropbox dobil dvostopenjsko avtentifikacijo

Computerworld - Dropbox je izpolnil obljubo, ki so jo dali po izgubi osebnih podatkov pretekli mesec, in uvedel dvostopenjsko avtentifikacijo. Doslej je bil dostop do računa mogoč izključno z uporabniškim imenom (elektronski naslov) in geslom, ki ju napadalci relativno lahko prestrežejo oziroma pridobijo s socialnim inženiringom ali zlonamernimi aplikacijami. Da bi to preprečili ali vsaj otežili, so uvedli preverjanje istovetnosti s SMS-kodo oziroma namenskimi programi.

Kdor bo želel uporabljati novo varnostno storitev, bo moral svojega odjemalca najprej posodobiti na verzijo vsaj 1.5.12. Potem bo na spletni strani Dropbox v svojem računu na zavihku Security (ali na posebni povezavi) vključil pošiljanje enkratne šestmestne kode na telefon, kadar se v račun prijavi nova naprava. Alternativno bo mogoče uporabiti namenske aplikacije, kot so Google Authenticator, Amazon AWS MFA ali Authenticator za Windows Phone, ki opravljajo enako funkcijo. Applovi uporabniki bodo lahko izbrali OATH.

Da bi preprečili izgubo dostopa, bodo uporabniki dobili 16-mestno varnostno geslo, ki bo omogočilo spremembo telefonske številke ali ponastavitev namenskih aplikacij. Dropbox trenutno to možnost razvija dalje, tako da bo kmalu mogoče računalnik, ki je prijavljen v Dropbox, odstraniti s seznama zaupanja vrednih naprav (untrust). Za naslednjo prijavo s tega računalnika bo potrebno zopet pridobiti SMS-kodo. Odzivi uporabnikov so načeloma pozitivni.

18 komentarjev

RejZoR ::

Čeprav ima tud ta dvostopenska avtentikacija en velik flaw pri Googlu. Sistem, ki je že avtenticiran je dost samo da veš geslo in že lahko spremeniš mobilno številko, geslo, you name it.

Sprememba podatkov kot so geslo in mobilna številka bi moral striktno VEDNO zahtevat avtentikacijo preko mobilca in bi tko preprečili vse zlorabe. Trenutna oblika pa če imaš remote al pa lokalni dostop do kište, lahko hijackaš account, da uporabnika povsem zakleneš ven kljub dvostopensjki avtentikaciji.
Me prav zanima kako ima Dropbox to narejeno...
RejZoR's Flock of Sheep @ www.rejzor.tk

techfreak :) ::

Še vseeno rabiš geslo za spreminjanje teh nastavitev.

carota ::

RejZoR je izjavil:

Čeprav ima tud ta dvostopenska avtentikacija en velik flaw pri Googlu. Sistem, ki je že avtenticiran je dost samo da veš geslo in že lahko spremeniš mobilno številko, geslo, you name it.

Sprememba podatkov kot so geslo in mobilna številka bi moral striktno VEDNO zahtevat avtentikacijo preko mobilca in bi tko preprečili vse zlorabe. Trenutna oblika pa če imaš remote al pa lokalni dostop do kište, lahko hijackaš account, da uporabnika povsem zakleneš ven kljub dvostopensjki avtentikaciji.
Me prav zanima kako ima Dropbox to narejeno...

Torej je že dovolj, da ti pove geslo in ti dodeli pravice za remote dostop do računalnika in že mu lahko account izmakneš. :)) Če mu rečeš še, da ti še SMS od Googla forwarda pa se lahko še na svoji mašini logiraš. Velik flaw. ;)

RejZoR ::

Kar zajbavajte se ampak ne razumete, da vsak sistem do katerega lahko fizično pristopiš in je že avtenticiran lahko veselo spreminjaš kritične login podatke in to je ogromen flaw by design. Sploh ker večina browserjev shranjuje gesla in ker bodimo iskreni večina ima shranjene zaradi praktičnosti.

Remote pa bi se dajal izvajat s črvi in boti, preverjat cookije če user uporablja Google storitve in ostale nečednosti pa tud ne morejo bit prevelika ovira.

Tko da ja, kakorkoli obrneš je to velika varnostna luknja. Sprememba gesla in mobilne številke bi morala VEDNO zahtevat SMS avtentikacijo.
RejZoR's Flock of Sheep @ www.rejzor.tk

WarpedOne ::

Največja varnostni design-flaw je za uporabnika težak način avtentikacije.
Naj bojo tvoji sistemi še tolk secure in ohinsploh - će bodo annoying bo user iskal bližnice, kako jih olajšat - listki z ultravarnimi gesli na monitorju, avtenticirana prijava in nezaklenjena postaja, ko grem na WC/malco in podobne finte ki vso 'varnost sistema' pošljejo na kup gnoja.

Varnostni sistem mora bit v prvi fazi tako enostaven za uporabo da je praktično za uporabnika neviden. Šele potem, se lahko začneš zanašat da se zares uporablja, kot je bil namenjen.

Pin + časovno spremenljivo geslo sta dober pristop.
Do you know what you don't know?

ozbolt ::

WarpedOne je izjavil:

Pin + časovno spremenljivo geslo sta dober pristop.


Misliš to škatlico?


Ker potem je ta sistem zelo podoben, le da se zamenja:

bančna kartica -> sim kartica
pin -> username + password
škatlica -> telefon
časovno spremenljivo geslo -> časovno spremenljivo geslo

RejZoR ::

WarpedOne je izjavil:

Največja varnostni design-flaw je za uporabnika težak način avtentikacije.
Naj bojo tvoji sistemi še tolk secure in ohinsploh - će bodo annoying bo user iskal bližnice, kako jih olajšat - listki z ultravarnimi gesli na monitorju, avtenticirana prijava in nezaklenjena postaja, ko grem na WC/malco in podobne finte ki vso 'varnost sistema' pošljejo na kup gnoja.

Varnostni sistem mora bit v prvi fazi tako enostaven za uporabo da je praktično za uporabnika neviden. Šele potem, se lahko začneš zanašat da se zares uporablja, kot je bil namenjen.

Pin + časovno spremenljivo geslo sta dober pristop.


To ni čist res. Googlov sistem je bil na samem začetku totalno idiotski. Ampak zdej je razen omenjenega flawa povsem uporabna zadeva. Vneseš geslo in dobiš na telefon 6 mestno one time kodo. Vneseš v polje in to je to. Lažje že skor težko narediš.
RejZoR's Flock of Sheep @ www.rejzor.tk

WamPIRe- ::

Se strinjam, pin + časovno spremenljivo geslo je/bi bila precej dobra zadeva.
Msi Z77 | Intel i7-3770K | Kingston HyperX DDR3 16GB
CM Silent Pro Gold 700W | Asus RTX 2080 | Samsung 850 EVO 250GB
Samsung 850 EVO 500GB | 2x Asus ROG PG279Q

dmok ::

RejZoR je izjavil:

Tko da ja, kakorkoli obrneš je to velika varnostna luknja. Sprememba gesla in mobilne številke bi morala VEDNO zahtevat SMS avtentikacijo.

In če telefon izgubiš ali pa ti ga ukradejo ?

d.

techfreak :) ::

@dmok: Kaj če nekdo pride nad tabo s kijem za baseball?

Zgodovina sprememb…

WarpedOne ::

Mu poveš/vpišeš 'napačno' geslo, ki brez videnga alarma o nasilnem vstopu obvesti temu namenjene službe.
Do you know what you don't know?

Jst ::

>Kaj če nekdo pride nad tabo s kijem za baseball?

Kaj vi nimate zraven mize, kjer imate računalnik, sekiro??

:D:D:D
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

Mipe ::

Kaj sekiro, cirkularko!

black ice ::

V Prekmurju je zadnje čase postala macola zelo popularna. Vredno razmisleka.

CaqKa ::

pepper spray :>


nevem no.. jaz nimam tolk hudih podatkov na dropboxu da bi se sekiral za tolko varnosti...

dmok ::

techfreak :) je izjavil:

@dmok: Kaj če nekdo pride nad tabo s kijem za baseball?

Ne vem če razumem tvojo pripombo, jaz sem odgovarjal na trditev RejZoR-ja, da je varnostna luknja, če lahko spremeniš telefonsko številko brez SMS potrditve. Ponavadi tisti, ki telefon izgubi ali mu ga ukradejo težko sprejema SMSje na ukradeno/izgubljeno številko.

d.

techfreak :) ::

Tvoje sporočilo sem razumel kot da tudi telefon ne poveča varnosti, ker ti ga lahko nekdo ukrade.

Imaš pa prav glede tega, da si brez telefona potem v težavah. Se mi je že zgodilo pri Battle.net, da jim servis za pošiljanje SMSov ni deloval in nisem mogel uporabljati računa.

Zgodovina sprememb…

RejZoR ::

dmok je izjavil:

RejZoR je izjavil:

Tko da ja, kakorkoli obrneš je to velika varnostna luknja. Sprememba gesla in mobilne številke bi morala VEDNO zahtevat SMS avtentikacijo.

In če telefon izgubiš ali pa ti ga ukradejo ?

d.


Deavtorizacija aparata in rezervne one time kode, ki jih dobiš ob vklopu 2 step avtentikacije.
RejZoR's Flock of Sheep @ www.rejzor.tk


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Dropbox - uporabljate? (strani: 1 2 3 4 )

Oddelek: Programska oprema
17131049 (16397) ZaLoMaT
»

Dropbox dobil dvostopenjsko avtentifikacijo

Oddelek: Novice / Varnost
184540 (3377) RejZoR
»

Dropbox priznal izgubo e-poštnih naslovov, zanimive implikacije

Oddelek: Novice / Zasebnost
144514 (2487) Ashrack
»

Vdor v gmail (strani: 1 2 )

Oddelek: Pomoč in nasveti
7413853 (12610) Joze_K
»

Se lahko poslovim od svojega Facebook-a?

Oddelek: Pomoč in nasveti
121441 (711) amigo_no1

Več podobnih tem