Dropbox – Sicherheit – Passwörter

Dropbox Logo

Wie im Blog von Dropbox veröffentlicht wurden einige Accounts gehakt. Dies zwingt mich quasi mal wieder etwas zu bloggen zum Thema Sicherheit im Web. So das habt ihr nun davon. Fangen wir aber mal mit genau dem Thema Dropbox an.

Dropbox Logo
Dropbox.com

Aufgefallen ist dieser Fall erst Usern. Usern die E-Mail-Spam bekommen haben auf die E-Mail-Adresse welche nur für den Dropbox Account genutzt wurde.

Fragen die ich mir zu dem speziellen Fall stelle.

1. Warum fallen Angriffe erst Usern auf wenn es quasi eh schon zu spät ist?

2. Wie viele Vertrauliche Daten konnten dabei wohl in die falschen Hände geraten sein?

3. Was habe ich in meiner Dropbox liegen was „vertraulich“ ist?

Zu erstens ist einfach nur zu sagen das es wohl ein qualitativ hochwertiger Angriff war, ansonsten wären die Hacker wohl am (hoffentlich gutem) Sicherheitssystem von Dropbox gescheitert. Das Dropbox jetzt versichert das es hoffentlich nie wieder soweit kommt ist irgendwie nur ein schwacher Trost für betroffene.

Zu „erst Usern“, wie soll Dropbox gute Angriffe auch mitbekommen? Wenn die Sicherheitssysteme immer erst dann verbessert/aktualisiert werden wenn sowas passiert dann ist das doch wiedermal ein Armutszeugnis für die Sicherheit im Netz.

2. Viele. Wenn ich sehe was ich anfangs unverschlüsselt in meiner Dropbox gespeichert habe um einfach diese Daten „überall“ zu haben, ja das war höchstwahrscheinlich ziemlich Lukrativ für die Angreifer, selbst wenn sie „nur“ Daten von Privat Personen bekommen haben.

3. Nichts mehr. Zumindest nicht außerhalb von hochgeladenen TrueCrypt-Container-Dateien. Ja diese „Doppelte“ Sicherheit ist wohl besser als einfach so auf die Sicherheit von Dropbox zu vertrauen. Bei Google-Drive funktioniert das übrigens immer noch nicht richtig. Die Container-Dateien werden nämlich nur dann erneut hochgeladen wenn sich die Dateigröße ändert, das passiert im Normalfall nicht. Schade eigentlich, ein MD5 o.ä. ändert sich nämlich immer wenn man Dateien im TC-Container verändert.

Als weitere persönliche Sicherheit empfehle ich euch Passwortdatenbank-Tools zu verwenden. Klingt unlogisch? Passwörter die irgendwo stehen sind doch Unsicher?

Jain, ABER. Erstens ist es quasi notwendig bei jedem Web/Online/Sonstwas-Dienst unterschiedliche Passwörter zu verwenden (und wie viele Dienste mit (dem gleichen?) Passwort nutzt du?).

Warum? Ganz einfach. Sobald der erste Dienst (wie letztens Dropbox) geknackt wird, inkl. Passwort wird diese Passwort/Mail Kombination einfach „blind“ auf weitere Dienste gejagt. D.h. z.B. Dein Facebook Account (mit gleicher Mail/Passwort Kombination) ist auf einmal auch zugänglich. Somit unterschiedliche Passwörter überall. 

KeePass Logo
KeePass Logo
Quelle: http://keepass.info/

So jetzt wird es mit „Passwort merken“ sehr interessant nicht wahr? Außerdem sollte ein Passwort auch nicht irgendwie so: „HalloWelt91“ aussehen sondern eher so: „rWo6KJuac4w“ beides elf stellig, beides „nur Groß-, Kleinbuchstaben und Zahlen“. Aber dennoch sehr Unterschiedlich. HalloWelt steht in jedem „Hacker Wörterbuch“ eine von dem Geburtsjahr abgeleitete Zahl ist auch schnell herausfinbar. Merken kann man sich „rWo6KJuac4w“ eher weniger. Also Speichern. Warum auch nicht? Wenn man es richtig anstellt z.B. mit dem Tool KeePass (nutze ich) ist das ganze auch nicht so übermäßig gefährlich. Falls die „kdb“ (KeePass Database (deutsch: KeePass Datenbank)) in falsche Hände gerät hat „der Dieb“ noch lange keine Zugriff darauf. Denn diese Datenbank muss mit Masterpasswort und/oder Masterpasswortfile verschlüsselt werden. Ein Masterpasswort wiederum kann man sich doch merken, da kann man dann seine ganze Fantasie walten lassen und ein „Sicheres“ Passwort merkbar nutzen.

Weiterer Vorteil von KeePass, es ist OpenSource somit hat niemand der daran entwickelt (vorausgesetzt man holt sich die Version von der Original Website) Interesse daran die Verschlüsselung oder Sicherheit zu korumpieren d.h. Backdoors einzubauen. Im Gegensatz zum Thema „im Browser“ (vor allem IE oder GoogleChrome) speichern. Außerdem ist ohne Sync nach Browser/Betriebssystem oder sonstwas neuinstallation alles wieder futsch. Und wenn man Passwörter zu Google Synct, dann ist halt alles in den Händen eines Konzerns welcher bekennend (nach eigener Aussage) Daten verkauft. Falls man dennoch Software wie die Software 1Password von agilebits nutzt ist man auch wieder so im Bereich, hoffentlich gibt es kein Backdoor in dieser Software womit man dann doch wieder mit einmal an alle meine Passwörter kommt.

Software kaufen vs. OpenSource. Vorteil von 1Password gegenüber von KeePass 1Password ist deutlich Benutzerfreundlicher. Vorteil KeePass: 100 %ig keinerlei Backdoor Gefahr. Außerdem ist KeePass kostenlos, 1Password nicht. 1Password wiederum ist Plattform unabhängig Verfügbar, KeePass nur „Unofficial“ aber funktionell. Jedem das seine aber für mich ist 1Password einfach keine Alternative.

Ich persönlich habe meine Passwort-Datenbank immer auf einem USB-Stick dabei. Auf diesem wiederum ist auch KeePass Portable für Windows. Diese DB ist mit einem Master-Passwort geschützt.

  •  Wie macht ihr das?
  • Habt ihr viele oder ein Passwort?
  • Habt ihr ein ganz anderes System?

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.