Video: Dropbox: come scegliere le cartelle da sincronizzare con il computer (Novembre 2024)
Se usi Dropbox per archiviare i tuoi file, considera questo post come promemoria che dovresti utilizzare l'autenticazione a due fattori per il servizio cloud.
Un individuo sconosciuto ha pubblicato centinaia di nomi utente e password che presumibilmente appartengono agli account Dropbox sul sito di condivisione di testo Pastebin lunedì. L'utente di Pastebin ha affermato che l'esempio era una piccola parte di un elenco composto da ben 7 milioni di account Dropbox compromessi.
"Continueremo a rilasciare di più al pubblico man mano che arrivano le donazioni, mostriamo il tuo supporto", ha detto l'annuncio di Pastebin che accompagna la discarica della password.
Dropbox non compromesso
Nel caso in cui tu sia preoccupato che i tuoi file e le tue foto siano stati rubati, Dropbox ha detto che non c'è nulla di cui preoccuparsi.
"Le tue cose sono al sicuro", Anton Mityagin, un membro del team di sicurezza di Dropbox, ha scritto in un post sul blog affermando che Dropbox non era stato violato. "I nomi utente e le password citati in questi articoli sono stati rubati da servizi non correlati, non da Dropbox."
Il servizio cloud afferma che gli aggressori hanno eliminato combinazioni di nome utente e password da altri servizi violati e quindi hanno provato ad accedere a vari siti su Internet, incluso Dropbox. Poiché il riutilizzo della password è dilagante nonostante i ripetuti avvisi di non farlo, gli aggressori sono riusciti a compilare un elenco di credenziali dell'account.
Anche se Dropbox non è stato violato, i miei file non sono a rischio poiché le credenziali del mio account sono state esposte? Dropbox ha affermato che non era così poiché controlla regolarmente tutti gli account per tracciare questo tipo di attività di accesso sospetta. Dropbox ha inoltre affermato di aver verificato gli elenchi pubblicati su Pastebin e di aver confermato che non sono associati agli account utente.
"Abbiamo messo in atto misure per rilevare attività di accesso sospette e reimpostiamo automaticamente le password quando ciò accade", ha scritto Mityagin.
Il riutilizzo della password è errato
Se il tuo account è uno di quelli identificati dagli aggressori, Dropbox ha probabilmente cambiato le tue password. Quindi, prima di tutto, smetti di riutilizzare le tue password tra i servizi. Non utilizzare la stessa password, anche se ritieni che gli account non contengano informazioni riservate e non siano importanti.
Sfortunatamente, nonostante le recenti violazioni che espongono le password degli utenti, le persone non sembrano prendere piede. Troy Hunt, il ricercatore di sicurezza dietro HaveIBeenPwned.com, ha detto a SecurityWatch il mese scorso che si aspettava alcune sovrapposizioni tra gli elenchi di password da diverse violazioni dei dati. Il database di HaveIBeenPwned contiene elenchi di password di oltre 30 siti e consente agli utenti di verificare se i loro account sono tra quelli che sono stati esposti.
"Non abbiamo abbastanza cambiato le abitudini delle password" in modo che non vi siano sovrapposizioni tra le violazioni dei dati, ha affermato Hunt.
Due fattori ora
Anche se non hai riutilizzato le password, il tuo account è ancora vulnerabile agli attacchi di forza bruta, soprattutto se la password è debole. Vale anche la pena notare che anche password complesse e forti possono essere forzate, soprattutto se l'attaccante ha risorse di elaborazione, tempo e motivazione sufficienti. Questo è il motivo per cui dovresti attivare la verifica in due passaggi su qualsiasi servizio che lo offre. Fortunatamente per noi, Dropbox è uno di quei servizi ed è abbastanza facile configurarlo.
"Attacchi come questi sono uno dei motivi per cui incoraggiamo fortemente gli utenti a non riutilizzare le password tra i servizi. Per un ulteriore livello di sicurezza, raccomandiamo sempre di abilitare la verifica in due passaggi sul tuo account", ha scritto Mityagin.
La verifica in due passaggi combina password o "qualcosa che conosci" con un dispositivo mobile o "qualcosa che possiedi" per impedire tentativi di accesso fraudolenti. Se hai abilitato due fattori sul tuo account Dropbox, riceverai un codice di sicurezza a sei cifre sul tuo cellulare o riceverai un codice generato dall'app Google Authenticator. "Avere due passaggi anziché solo uno crea una barriera più forte contro gli attaccanti", ha detto Dropbox.
Ti consigliamo di utilizzare un gestore di password come LastPass per semplificare la generazione di password univoche che sono anche complesse. Ma mentre possono rallentare gli attaccanti, non sono infallibili. L'autenticazione a due fattori può essere meno comoda e lenta, ma vale la pena fare un ulteriore sforzo se impedisce agli aggressori di entrare facilmente nel tuo account.