Dropbox chce, bym zmienił hasło. Chyba nie wie, ile to roboty
Dropbox przywitał mnie dziś rano mailem o konieczności zmiany hasła, którego nie aktualizowałem od połowy 2012 r. I wkurzył mnie niemiłosiernie, bo roboty z tym od cholery.
Wiadomość raczej uspokajająca, prawda?
Prawdopodobnie chodzi jednak o wyciek danych, właśnie z 2012 r., które w ostatnich dniach trafiły do nielegalnej sprzedaży w Sieci.
Zresztą potwierdza to sam Dropbox odsyłając do następującego komunikatu:
Nasze zespoły ds. bezpieczeństwa stale wypatrują nowych zagrożeń dla użytkowników. W ramach tych czynności dowiedzieliśmy się o starym zbiorze poświadczeń użytkowników Dropbox (adresów e-mail oraz zahashowanych haseł z ciągiem zaburzającym), które według nas zostały pozyskane w 2012 r. Z naszych analiz wynika, że poświadczenia te mają związek ze zdarzeniem, które ujawniliśmy mniej więcej w tym czasie.
W oparciu o prowadzony przez nas monitoring zagrożeń i nasz sposób zabezpieczania haseł nie uważamy, aby doszło do nieuprawnionego dostępu do jakiegokolwiek konta. Niemniej jednak w ramach szeregu środków ostrożności prosimy użytkowników, którzy nie zmieniali hasła od połowy 2012 r., aby zaktualizowali je przy następnym logowaniu.
I ok, cieszę się, że Dropbox dba o moje bezpieczeństwo, nawet mimo tego, że (chyba) nie doszło do bezpośredniego zagrożenia utraty dostępu do moich danych.
Nie wiem tylko, czy taki Dropbox zdaje sobie sprawę z tego, co musiałbym zrobić, by skutecznie zmienić hasło.
Otóż nie wystarczy tylko zalogować się do wersji webowej serwisu i tam po prostu zmienić hasło na nowe. Z Dropboksa korzystam przecież na wielu urządzeniach komputerowych - zarówno tych stacjonarnych (dwa kompy), jak i mobilnych (dwa smartfony, tablet). Wszędzie tam trzeba będzie przelogować się na nowe hasło. A że hasło do Dropboksa - jednej z najważniejszych i najbardziej drażliwych dla mnie usług internetowych - musi być naprawdę mocne, wpisywanie go w kolejnych aplikacjach jest bardzo uciążliwe. Ale to jeszcze nie koniec! W Dropboksie mam włączoną dwustopniową weryfikację logowania, więc każdą zmianę hasła w aplikacji na kolejnych urządzeniach będę musiał autoryzować via SMS.
Sami powiedzcie, czy to normalne?
Z hasłami do usług internetowych jest coś fundamentalnie nie tak. Nie dość, że nie są wcale bezpieczne, to na dodatek trzeba by ich znać na pamięć kilkadziesiąt, o ile nie kilkaset, nie mówiąc już o tym, że autoryzowanie nimi wszelakich połączeń pomiędzy serwisami internetowymi to - jak pokazałem na przykładzie Dropboksa - wyjątkowa katorga.
Jasne, można korzystać z usług tzw. menedżerów haseł (sam korzystam ze świetnego 1Password), ale nie jest to wcale bezproblemowe. No i bezpieczne, bo wystarczy przejąć jedno hasło master, by zdobyć dostęp do wszystkich naszych internetowych tożsamości.
Wiele było prób zmian w sposobie weryfikacji użytkowników usług, ale żadna do tej pory nie zastąpiła wysłużonego hasła tekstowo-liczbowego. Zresztą to jedna z tych rzeczy, która jest z nami od początku internetu. Teraz w dobie setek usług internetowych, z których korzystamy na co dzień, logowania się kontami jednych usług w drugich, hasła tekstowe są i mało skuteczne, i mocno uciążliwe.
Ktoś, kto wymyśli, czym je zastąpić, zarobi gigantyczne pieniądze. Dziwię się, że na tym polu brak prawdziwych innowacji.
