ビデオ: therunofsummer (九月 2024)
Dropboxを使用してファイルを保存する場合は、この投稿でクラウドサービスに2要素認証を使用する必要があることを思い出してください。
未知の個人が、月曜日にテキスト共有サイトPastebinにDropboxアカウントに属するとされる数百のユーザー名とパスワードを投稿しました。 Pastebinユーザーによると、このサンプルは、700万件もの侵害されたDropboxアカウントで構成されるリストのごく一部に過ぎません。
「寄付が入り次第、一般に公開し続け、サポートを示します」と、パスワードダンプに伴うPastebinの発表は述べています。
ハッキングされていないDropbox
ファイルや写真が盗まれた場合、Dropboxは心配する必要はないと述べました。
「あなたのものは安全です」と、DropboxのセキュリティチームのメンバーであるAnton Mityaginは、Dropboxがハッキングされていないと主張するブログ投稿に書きました。 「これらの記事で参照されているユーザー名とパスワードは、Dropboxではなく、無関係のサービスから盗まれました。」
クラウドサービスは、攻撃者が他の侵害されたサービスからユーザー名とパスワードの組み合わせをculし、Dropboxを含むインターネット上のさまざまなサイトにログインしようとしたと主張しています。 警告が繰り返されないにもかかわらずパスワードの再利用がis延しているため、攻撃者はアカウント資格情報のリストを作成することができました。
Dropbox自体が侵害されていなくても、アカウントの資格情報が公開されているため、私のファイルは危険にさらされていませんか? Dropboxは、この種の不審なログインアクティビティを追跡するために定期的にすべてのアカウントを監視しているため、そうではないと主張しました。 Dropboxはまた、Pastebinに投稿されたリストをチェックし、それらがユーザーアカウントに関連付けられていないことを確認したと主張しました。
「不審なログインアクティビティを検出するための手段が用意されており、パスワードが発生すると自動的にパスワードがリセットされます」
パスワードの再利用が悪い
アカウントが攻撃者が特定したアカウントの1つである場合、Dropboxはパスワードを変更した可能性があります。 まず第一に、サービス間でパスワードを再利用するのをやめます。 アカウントに機密情報が含まれておらず、重要ではないと思われる場合でも、同じパスワードを使用しないでください。
残念なことに、最近のユーザーパスワードの漏えいにも関わらず、人々は理解していないようです。 HaveIBeenPwned.comの背後にあるセキュリティ研究者であるTroy Huntは、先月 SecurityWatchに 、さまざまなデータ侵害によるパスワードリストの重複を予想していると語った。 HaveIBeenPwnedのデータベースには、30を超えるサイトのパスワードリストが含まれており、ユーザーは自分のアカウントが公開されているものかどうかを確認できます。
「パスワードの習慣を十分に変更していないため、データ侵害が重複することはありません」とハント氏は言います。
ツーファクターナウ
パスワードを再利用していない場合でも、特にパスワードが弱い場合、アカウントはブルートフォース攻撃に対して脆弱です。 また、特に攻撃者が十分なコンピューティングリソース、時間、およびモチベーションを持っている場合は、強力で複雑なパスワードであってもブルートフォースできることに注意する価値があります。 そのため、それを提供するサービスで2段階認証を有効にする必要があります。 幸いなことに、Dropboxはこれらのサービスの1つであり、設定は非常に簡単です。
「こうした攻撃は、ユーザーがサービス間でパスワードを再利用しないことを強くお勧めする理由の1つです。セキュリティを強化するため、アカウントで2段階認証を有効にすることを常にお勧めします」とMityagin氏は書いています。
2段階認証では、パスワード、つまり「知っているもの」とモバイルデバイス、または「持っているもの」を組み合わせて、不正なログイン試行を防ぎます。 Dropboxアカウントで2要素を有効にしている場合、携帯電話で6桁のセキュリティコードを受け取るか、Google認証システムアプリからコードが生成されます。 「1つだけではなく2つのステップがあると、攻撃者に対するより強力な障壁になります」とDropboxは言いました。
LastPassなどのパスワードマネージャーを使用して、複雑な固有のパスワードを簡単に生成できるようにすることをお勧めします。 しかし、攻撃者の速度を低下させる可能性はありますが、絶対確実ではありません。 二要素認証は、利便性が低く、遅くなる可能性がありますが、攻撃者がアカウントに簡単に侵入するのを防ぐのであれば、追加の努力に値します。
