1. SPIDER'S WEB
  2. Tech
  3. Bezpieczeństwo

Dropbox chce, bym zmienił hasło. Chyba nie wie, ile to roboty

Dropbox przywitał mnie dziś rano mailem o konieczności zmiany hasła, którego nie aktualizowałem od połowy 2012 r. I wkurzył mnie niemiłosiernie, bo roboty z tym od cholery.

Dropbox chce, bym zmienił hasło. Chyba nie wie, ile z tym roboty
Dropbox resetowanie hasła

Wiadomość raczej uspokajająca, prawda?

Prawdopodobnie chodzi jednak o wyciek danych, właśnie z 2012 r., które w ostatnich dniach trafiły do nielegalnej sprzedaży w Sieci.

Zresztą potwierdza to sam Dropbox odsyłając do następującego komunikatu:

Nasze zespoły ds. bezpieczeństwa stale wypatrują nowych zagrożeń dla użytkowników. W ramach tych czynności dowiedzieliśmy się o starym zbiorze poświadczeń użytkowników Dropbox (adresów e-mail oraz zahashowanych haseł z ciągiem zaburzającym), które według nas zostały pozyskane w 2012 r. Z naszych analiz wynika, że poświadczenia te mają związek ze zdarzeniem, które ujawniliśmy mniej więcej w tym czasie.

W oparciu o prowadzony przez nas monitoring zagrożeń i nasz sposób zabezpieczania haseł nie uważamy, aby doszło do nieuprawnionego dostępu do jakiegokolwiek konta. Niemniej jednak w ramach szeregu środków ostrożności prosimy użytkowników, którzy nie zmieniali hasła od połowy 2012 r., aby zaktualizowali je przy następnym logowaniu.

I ok, cieszę się, że Dropbox dba o moje bezpieczeństwo, nawet mimo tego, że (chyba) nie doszło do bezpośredniego zagrożenia utraty dostępu do moich danych.

Nie wiem tylko, czy taki Dropbox zdaje sobie sprawę z tego, co musiałbym zrobić, by skutecznie zmienić hasło.

Otóż nie wystarczy tylko zalogować się do wersji webowej serwisu i tam po prostu zmienić hasło na nowe. Z Dropboksa korzystam przecież na wielu urządzeniach komputerowych - zarówno tych stacjonarnych (dwa kompy), jak i mobilnych (dwa smartfony, tablet). Wszędzie tam trzeba będzie przelogować się na nowe hasło. A że hasło do Dropboksa - jednej z najważniejszych i najbardziej drażliwych dla mnie usług internetowych - musi być naprawdę mocne, wpisywanie go w kolejnych aplikacjach jest bardzo uciążliwe. Ale to jeszcze nie koniec! W Dropboksie mam włączoną dwustopniową weryfikację logowania, więc każdą zmianę hasła w aplikacji na kolejnych urządzeniach będę musiał autoryzować via SMS.

Sami powiedzcie, czy to normalne?

Z hasłami do usług internetowych jest coś fundamentalnie nie tak. Nie dość, że nie są wcale bezpieczne, to na dodatek trzeba by ich znać na pamięć kilkadziesiąt, o ile nie kilkaset, nie mówiąc już o tym, że autoryzowanie nimi wszelakich połączeń pomiędzy serwisami internetowymi to - jak pokazałem na przykładzie Dropboksa - wyjątkowa katorga.

Jasne, można korzystać z usług tzw. menedżerów haseł (sam korzystam ze świetnego 1Password), ale nie jest to wcale bezproblemowe. No i bezpieczne, bo wystarczy przejąć jedno hasło master, by zdobyć dostęp do wszystkich naszych internetowych tożsamości.

Wiele było prób zmian w sposobie weryfikacji użytkowników usług, ale żadna do tej pory nie zastąpiła wysłużonego hasła tekstowo-liczbowego. Zresztą to jedna z tych rzeczy, która jest z nami od początku internetu. Teraz w dobie setek usług internetowych, z których korzystamy na co dzień, logowania się kontami jednych usług w drugich, hasła tekstowe są i mało skuteczne, i mocno uciążliwe.

Ktoś, kto wymyśli, czym je zastąpić, zarobi gigantyczne pieniądze. Dziwię się, że na tym polu brak prawdziwych innowacji.