Der Cloud-Speicher Dropbox hat gestern eine E-Mail an Nutzer verschickt, die seit Mitte 2012 (oder länger) dasselbe Passwort verwenden. Den betroffenen Nutzern wird mitgeteilt, dass sie ihr Passwort ändern sollen und bei der nächsten Anmeldung dazu gezwungen werden.
Rein präventiv
Dropbox erklärt dazu auf dem Firmen-Blog, dass diese Aktion präventiv ist und es keine Anzeichen dafür gäbe, dass die Konten unberechtigterweise genutzt wurden. Die Login-Daten seien sicher gespeichert. Passwörter stehen als „Salted Hash“ in der Datenbank, allerdings gab es 2012 einen Zwischenfall, bei dem die Nutzerdaten ausgelesen werden konnten.
Salted Passwörter bestehen nicht nur aus dem Passwort selbst, sondern zusätzlich aus einer zufälligen Zeichenkette. Damit werden Angriffe deutlich erschwert, denn selbst das Passwort „12345“ hieß, wurde der Hash von „12345abcde“ gespeichert. „abcde“ wäre in dem Fall der Salt. Damit werden Wörterbuchangriffe zuverlässig abgewehrt. Dennoch ist nicht auszuschließen, dass mit entsprechend hohem Aufwand die entwendeten Passwort-Hashs mittlerweile zurückverfolgt wurden.
Neben der Zwangsänderung der Passwörter, die entsprechend alt sind, empfiehlt Dropbox die Zwei-Faktor-Authentifizierung zu aktivieren, um die Sicherheit des eigenen Zugangs und damit der eigenen Daten weiter zu erhöhen. Mit der 2FA wird über einen unabhängigen Kommunikationsweg ein Code verschickt, der beim Login eingegeben werden muss. Damit ist das Passwort alleine im Grunde genommen wertlos.