2217047

Dropbox fordert Nutzer zur Passwort-Änderung auf

01.09.2016 | 09:07 Uhr |

Dropbox fordert einen Teil seiner Nutzer zur Änderung ihres Passwortes auf. 68 Mio. Passwörter sind betroffen. Das steckt dahinter und diese Nutzer sind betroffen. Das sagt Dropbox.

Der Cloudspeicherdienst Dropbox fordert seine Nutzer per Mail sowie teilweise bei der Anmeldung auf, ihr Passwort für Dropbox zu ändern. Sofern dieses seit Mitte 2012 nicht mehr geändert wurde.

Dropbox nennt diesen Grund für die Aufforderung zur Passwortänderung: „Unsere Sicherheitsteams prüfen ständig, ob die Konten unserer Nutzer durch externe Bedrohungen gefährdet werden könnten. Dabei haben wir erfahren, dass 2012 eventuell auf einige alte Dropbox-Anmeldedaten (E-Mail-Adressen und gehashte Kennwörter mit Salt) Zugriff erlangt wurde.“ Dabei handelt es sich um diesen Vorgang aus dem Jahr 2012. Damals wurden laut Dropbox auf anderen Webseiten Zugangsdaten gestohlen, die auch für die Anmeldung bei Dropbox verwendet werden.

Doch nicht nur ein kleiner Leak?

Einige Tage später deckt Motherboard auf, dass nicht nur "einige" Anmeldedaten betroffen sein könnten, sondern 60 Millionen. Es seien Daten von 68.680.741 Dropbox-Accounts, insgesamt 5 GB schwer, veröffentlicht worden und ein Dropbox-Mitarbeiter habe die Echtheit bestätigt. Ein Sprecher habe aber betont, dass noch keine Anzeichen für eine fremde Nutzung der Daten beobachtet worden sei. 32 Millionen der erbeuteten Passwörter seien sehr stark verschlüsselt - der Rest aber könnte Hackern eventuell nicht lange standhalten. Daraus ergibt sich einmal mehr die Empfehlung: Haben Sie Ihr Passwort sehr lange nicht geändert (seit 2012 beispielsweise), sollten Sie das nun nachholen.

Dropbox fordert seine Nutzer mit dieser Mail zur Passwort-Änderung auf.
Vergrößern Dropbox fordert seine Nutzer mit dieser Mail zur Passwort-Änderung auf.

Das können Sie zum Schutz Ihrer Dropbox tun

Konkret erhalten laut Dropbox diese Nutzer die Aufforderung zur Passwortänderung:

Sie haben sich vor Mitte des Jahres 2012 bei Dropbox registriert und Sie haben Ihr Kennwort seit Mitte des Jahres 2012 nicht geändert.

Es handelt sich also um „Altlasten“ aus dem 2012er-Vorfall. Wer seitdem sein Dropbox-Passwort geändert hatte, sollte nicht zur Änderung seines Passwortes aufgefordert werden. Wobei man sein Passwort ohnehin regelmäßig ändern sollte.

Tipp 1: So erstellen Sie sichere Passwörter.

Tipp 2: Verwenden Sie nie ein und dasselbe Passwort für unterschiedliche Zugänge.

Vor allem aber: Aktivieren Sie für Dropbox die Zwei-Faktor-Authentifizierung. Das erledigen Sie bei Dropbox im Bereich Einstellungen, Sicherheit. Danach schickt Ihnen Dropbox immer einen Code auf das von Ihnen angegebene Handy. Diesen Code müssen Sie zusätzlich zu Ihrem Passwort bei der Anmeldung eingeben. Damit Sie diesen doch etwas umständlichen Weg aber nicht immer nehmen müssen, können Sie PCs, Notebooks, Tablets und Smartphones ebenfalls unter Einstellungen, Sicherheit als sicher klassifizieren.

Tipp 3: Entfernen Sie nicht mehr genutzte Geräte wieder aus dieser Liste.

Dropbox betont: „Das Aktualisieren des Kennworts ist eine rein präventive Maßnahme. Wir haben keinerlei Hinweise darauf, dass unbefugt auf Ihr Konto zugegriffen wurde.“

Wenn Sie die Mail von Dropbox mit der Aufforderung zur Änderung des Passworts erhalten haben, bei Ihrer nächsten Anmeldung jedoch nicht dazu aufgefordert wurden, Ihr Kennwort zu aktualisieren, müssen Sie dies auch nicht tun. Das bedeutet, dass Ihr Konto die Kriterien, die eine Passwortänderung nötig machen, doch nicht erfüllt. Das war auch bei uns der Fall.

Falls Sie Ihr ursprüngliches Kennwort allerdings auch für andere Dienste verwendet haben, sollten Sie das Kennwort in diesen Diensten aktualisieren, empfiehlt Dropbox.

Stellungnahme von Dropbox

Patrick Heim, Head of Trust & Security bei Dropbox, erklärte zu dem Vorfall: „Dies ist kein neuer Sicherheitsvorfall und wir haben keinen Grund zur Annahme, dass sich Dritte unrechtmäßig Zugang zu Dropbox-Accounts verschafft haben. Unsere Analyse bestätigt, dass es sich bei den Anmeldedaten um E-Mail-Adressen von Dropbox-Nutzern und Passwörter handelt, die dank der komplexen Passwortverschlüsselung "hashed and salted" unbrauchbar sind.

Es sind ausschließlich Nutzer betroffen, die sich vor Mitte 2012 bei Dropbox angemeldet haben und seitdem ihr Passwort nicht geändert haben. Dropbox hat in der vergangenen Woche als reine Vorsichtsmaßnahme diese betroffenen Nutzer aufgefordert, ihre Passwörter zu ändern. Dropbox bestätigt, dass das Zurücksetzen der Passwörter vergangene Woche abgeschlossen wurde und die Gesamtheit aller betroffenen Nutzer abdeckt.

Obwohl die Dropbox-Konten geschützt sind, sollten betroffene Nutzer, die möglicherweise ein identisches Passwort auch bei anderen Services nutzen, Vorsichtsmaßnahmen ergreifen. Idealerweise sollten diese Passwörter aktualisiert werden und Zwei-Faktor-Authentifizierung aktiviert werden. Zudem sollten Nutzer, die eine Benachrichtigung von Dropbox erhalten haben, wachsam vor Spam oder Phishing sein.“

0 Kommentare zu diesem Artikel
2217047