Wer sich zuletzt über eine Mail von Dropbox gewundert hat, in der zum Passwortwechsel aufgerufen wurde, dem sei gesagt: Es war kein Phishing, sondern die Reaktion des Cloud-Unternehmens auf einen Hack aus dem Jahre 2012. In der Mail an die Nutzer hieß es allerdings nur:
[…] falls Sie Ihr Dropbox-Kennwort seit Mitte 2012 nicht geändert haben, werden Sie bei Ihrer nächsten Anmeldung dazu aufgefordert. Dies ist eine rein präventive Maßnahme – wir danken Ihnen für Ihre Mithilfe.
Im Blog des Unternehmens wird etwas genauer erklärt, warum die User die Passwörter ändern sollen. Und so ganz präventiv scheint der Grund doch nicht zu sein: Motherboard hat eine Auswahl der Daten zugespielt bekommen, die Mailadressen und gehashte Passwörter enthielten. Gegenüber Motherboard versicherte ein Dropbox-Mitarbeiter inoffiziell die Echtheit der Daten. Gefährdet sind vor allem Accounts, deren Passwörter noch mit einem veralteten Hash-Verfahren verschlüsselt wurden. Aus den Hashes dieser Passwörter kann das Klartext-Passwort im Zweifelsfall in vergleichbar kurzer Zeit ermittelt werden.
Wer auf Nummer sicher gehen will, sollte also sein Passwort bei Dropbox ändern und die 2-Faktor-Authentifizierung aktivieren. Und natürlich die Daten auf der Dropbox selbst nur verschlüsselt ablegen.
Update 01.09.2016:
Dropbox hat uns gegenüber nun den Hack auch offiziell bestätigt, und auch der Blogpost des Unternehmens wurde aktualisiert.
Gute Nachricht :-)
Auf der Website HaveIBeenPwned kann man außerdem nachsehen, ob man von dem Hack oder einem anderen betroffen ist:
Es ist außerdem ratsam einen Passwortmanager zu benutzen. Am besten Keepass oder KeepassX, der ist kostenlos und Open-Source und bietet eine sehr hohe Sicherheit, wenn man sich zufällige individuelle Passwörter für jeden Dienst zulegt. Am besten 12 oder mehr Stellen, die werden dann automatisch von Keepass(X) (in Verbindung mit einem Addon für den Browser) eingefügt – sicherer und einfacher als sich komplizierte Passwörter zu merken.
https://haveibeenpwned.com/
https://keepassx.org
http://keepass.info
Zu KeyPass …
http://lifehacker.com/keepass-vulnerability-could-let-attackers-steal-your-pa-1781486764
genau. das richtige ding heißt KeepassX.
das runterladen per http (ohne s, ohne signatur) war wohl auch bei keepass nicht automatisch.
trotzdem unverzeihlich von denen, das nicht zu signieren und einen http-link vorzuschlagen.