Dropbox Breach显示了如何影响密码重用
回到黑暗时代(井,四年前,无论如何),在文件共享供应商Dropbox中发生了一些事情,这些年后,所有这些年后,都会回来困扰该厂家及其客户。虽然来自所有这些年前的行为或不撤消,但值得看待我们所有人的警示故事,特别是因为许多人依赖于今天的互联网服务,而不是几年前依赖互联网服务。
回到2012年,Dropbox通知世界“获取”员工的密码,并且有关的密码用于访问包含Dropbox用户电子邮件地址的文档。Dropbox通过2012年回到博客帖子,即:
“盗窃密码也用于访问包含具有用户电子邮件地址的项目文档的员工Dropbox帐户。我们相信这种不当的访问是导致垃圾邮件的原因。我们对此感到抱歉,并提出了额外的控制,以帮助确保它不会再发生。“到目前为止,所以(不奇妙)很好。显然这是隐私方面的一个问题,但是,如果访问的所有内容都是一堆电子邮件地址,没有伤害,对吧?
好吧,不是那么快。下周披露的Dropbox,超过6000万个账户的凭据已经围绕于2012年首次突破的所谓的“暗网络”。这不仅比最初想象的更高,而且还有更严重的泄漏,因为这是关于实际凭据(即,用户名和密码)而不是电子邮件地址。
Dropbox似乎依赖于2012年披露中的技术性。Dropbox密码是哈希和盐渍的,因此有人在包括密码包括密码的文件上的任何人都会使用它们。
但如果有人掌握这些散列和盐渍密码并设法破解他们,怎么办?然后,它们可以访问用户名和密码。并且,由于我们知道许多人使用多个服务的单个密码,并且在2012年增加了许多人,因此有一个用户数据的宝库,可能会导致损失的损失远远超过一些共享文件。
这6000万左右的用户凭据是Dropbox服务在2012年重新回归的用户总数的60% - 这是一个Sobering统计数据,即显示有关的安全程序有多糟糕的安全程序可以在这些Web比例供应商上。
要公平,数据泄露是一个复杂的,并且不能归于Dropbox。它似乎已经在他们的LinkedIn及其公司Dropbox帐户上使用了Dropbox Employee的个人密码。通过另一个破坏获取LinkedIn密码,这重复使用渗透Dropbox网络并最终窃取包含凭据的文件。
mypov.
非常简单地,此违规指出,再次指出,双因素身份验证和不使用重复密码是数据安全的关键要求。有趣的是,Dropbox已建议它具有许可的1Password,密码管理服务,使用户更容易为他们所需的所有不同服务维护高度安全和唯一的密码。像1Password及其竞争对手的系统是数据安全性的重要第一步。
但此违规也表明,也许是这些Web比例供应商的时间来强制执行双因素身份验证,或者至少采用未经授权或可疑的登录尝试使用上下文身份验证。
我们不应该为这个违规行为而不是重复放弃 - Dropbox只是数据丢失链条的一部分,第三方供应商和唯一员工的行为走了很长的方式来造成这种情况。但是,最重要的是,即使这件事持续的重要性,就是一个警示的故事。