Dropbox setzt Passwörter zurück, die seit Jahren nicht geändert wurden

Der Cloudspeicher-Dienst Dropbox hat im Rahmen einer Email-Kampagne Nutzer aufgefordert, ein neues Passwort für ihr Cloud-Konto zu vergeben. Wie es dabei heißt, handelt es sich um eine Vorsichtsmaßnahme. mehr... Logo, Dropbox, Online Speicherdienst Bildquelle: Dropbox Logo, Dropbox, Online Speicherdienst Logo, Dropbox, Online Speicherdienst Dropbox

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Liebe Frau Dressler,
Haben sie Ihre Aussage mal im Kollegenkreis diskutiert?

http://winfuture.de/news,93510.html.

Als Nachricht finde ich Ihren Artikel informativ und gut, mir erschließt sich nur nicht ob die Aussage:

"es ist nicht unbedingt gut, ein Passwort beziehungsweise eine Login-Kombination über Jahre hinweg gleichbleibend zu belassen."

Ihre Meinung, oder ein Zitat seitens Dropbox ist.
 
@Candlebox: In dem von dir verlinkten Artikel wurden die Passwörter alle 3 Monate gewechselt. Das wird als häufig angesehen und war der Sicherheit laut Aussage der Studie abträglich. Und das Ergebnis der Studie ist auch verständlich. Die Wenigsten würden sich die Mühe machen und sich alle 3 Monate ein komplett neues PW ausdenken.
Nadine meint nun, dass ein Passwort, welches über mehrere Jahre unverändert bleibt ebenso problematisch ist und man es wenigsten ab und an mal (anständig!) wechseln sollte. Ich glaube dieser Rat ist vernünftig.
 
@ElDaRoN: Warum?
 
@Candlebox: Weil es mMn den Schutz erhöht. Social Engineering welches z.B. auf das Ausnutzen von Gewohnheiten abzielt. Freundes- oder Bekanntenkreise, die sich verändern und einem schon häufiger über die Schulter gucken konnten. Fehler bei Updates der Anbieter. Hacks, die erst sehr spät kommuniziert/entdeckt, aber noch nicht ausgenutzt wurden. Schadet nicht, jährlich oder alle zwei Jahre mal seine Gewohnheit selbst zu durchbrechen indem man sich ein komplett neues PW ausdenkt oder wenigstens die PWs verschiedener Dienste durchrotiert.
 
@ElDaRoN: Aha. Also wechsel ich mein gut gewähltes Haustürschloss von 2012 präventiv auch mal, weil da viele neue Nachbarn eingezogen sind? Und meinen Safe zuhause reiß ich auch raus, weil mittlerweile die vierte Putzkraft bei mir seit 2012 arbeitet? Ah, danke für den Sichherheitshinweis.

Ich sehe das anders, wenn ich ad hoc auf einen Dienst zugreifen will, der mich zwingt, erstmal mein PW zu ändern, wähle ich auf die schnelle ein einfaches PW.
 
@ElDaRoN: Was meinst du passiert, wenn jemand dein Passwort wirklich knackt?

Meinst du der wartet ein Jahr (oder 3 Monate) bis er es nutzt? Nein, er wird es innerhalb weniger Tage nutzen.

Deshalb ist es meiner Meinung nach ziemlich sinnlos ein Passwort zu ändern. Viel wichtiger ist es starke einzigartige Passwörter zu benutzen. Am Besten mit technischer Unterstützung, z.B. durch KeePass.

Dropbox will hier vermutlich eher alte ungenutzte Accounts finden um die Daten zu löschen, oder zu archivieren...
 
@Draco2007: Ich bin auch schon vor einigen Jahren zu "einzigartigen" Passwörtern pro Seite übergegangen.

Wenn man sich entsprechende Eselsbrücken dafür baut braucht man auch nicht zwingend KeePass um sich das zu merken, denn die Unterschiede müssen NICHT gravierend sein:

Kommt es irgendwo zu einem Leak der gespeicherten Passwörter sitzt da "keiner" davor und probiert diese Kombinationen bei anderen Seiten - das geschieht automatisiert. Und damit reicht schon ein Buchstabe "abweichung", damit das geleakte Passwort unbrauchbar ist.

Beispiel: Grundpasswort sei "aXd599e$f" - und weils der WinFutureDe Account ist, kommt noch wfd hinten dran. Bei MicroSoftCom ebem msc o.ä.

Das System kann ein Mensch zwar leicht durchschauen - doch bei der massiven Anzahl an "Use-Everywhere-Passwords" wird sich kein Mensch die Mühe machen einzelne Account-Passwörter zu "analysieren".
 
@dognose: Prinzipiell bin ich bei dir. Wenn es um Datenbank-Hacks geht spielt es keine Rolle wie stark das Passwort ist. Einzigartig reicht. Dabei kann es auch was total simples sein, selbst 12345 als Basis wäre voll in Ordnung, wenn es nur um Datenbank-Hacks geht.

Wenn aber jemand mit Brute Force an einen Account geht, hat er speziell dich im Ziel. Und dann hast du mit deinem Schema möglicherweise ein Problem, sofern der Angreifer ein Passwort geknackt bekommt. Greift er zum Beispiel Winfuture an, die vielleicht kein besonders ausgefuchstes Sicherheitssystem haben, bekommt er so am Ende Zugang zu deinem Microsoft Account, incl Mail/OneDrive/etc.

Aber, und da bin ich wieder bei dir, es ist natürlich eher unwahrscheinlich, dass jemand den Aufwand aufbringt um einen einzelnen User anzugreifen, vor allem wenn nicht genau klar ist, was zu holen ist.

Ich komm mit KeePass jedenfalls sehr gut klar, aber im Prinzip ist alles besser als "Ein-Passwort-Für-Alles" =)
 
@Draco2007: Bruteforce "gegen eine Login-API" ist sinnfrei, auf Grund von IP-Blocks oder sonstigen Maßnahmen ("Retry in 15 Minutes") kommt man da auf keinen grünen Zweig.

Bruteforce nutzt also nur, wenn man den "Hash" kennt (z.b. aus DB-Leaks) und etwas Passwort-Artiges rekonstruiren möchte um auf die eigentlichen Funktionen der Seite zugreifen zu können. Hier zielt der Angreifer aber meist auf eine Kollision ab. (Also "anderes" Passwort mit gleichem Hash)

Und diese Kollision ist auf anderen Seiten mit anderen Salts / Peppers und/oder Hash-Algorithmen ebenfalls wertlos.

Auch wenn jemand auf die doofe Idee käme, einen Bruteforceangriff auf ein "Interface" laufen zu lassen: Woher sollte der Algorithmus wissen - nachdem er 12345wfd "geknackt" hat, dass er nun bei der Microsoft-Seite schlicht wieder mit "12345" starten soll?

Und natürlich ist "mein" Schema der Eselsbrücken ein wenig Komplexer als 3 Buchstaben anhängen, war ja nur ein Beispiel. :-)
 
@Candlebox: Schlechte Vergleiche.
Du wechselst dein Wohnungstürschloss (vermutlich), wenn du weißt, dass vorher Mietnomaden drin waren und der Vermieter das Schloss nicht gewechselt hat. Du wechselst das Schloss auch, wenn deine Freundin aus Hass auf dich verduftet und dir den Schlüssel nicht zurückgegeben hat.
Und du wechselst deinen Code für deinen Safe vermutlich ebenfalls, wenn du deine Putze rausgeschmissen hast bzw. kurz bevor du das tust.

Es ging in meinen Beispielen nicht um Zwang.
 
@Draco2007: Es geht bei meinen Beispielen nicht ums knacken. Ich ziehs mal anders auf: Ich kenne die Entsperrgesten bzw. -Pins für die Smartphones für min. zwei meiner Arbeitskollegen. Einfach nur weil ich das oft genug beobachten konnte.
Jetzt unterstellen wir mir mal Bösartigkeit und machen ein Gedankenspiel: Aus irgendeinen Grund schiebe ich einen Hass auf einen von denen. Ich weiß wo deren Phone liegt, es ist unbeobachtet, also schnappe ich es mir und habe Zugriff auf Facebook, WhatsApp, Fotos, die Cloud, Kontakte usw. Im Prinzip kann ich das wie ein bekloppter rumwildern.
Anderes Beispiel: Uni. Im Hörsaal immer hinter die selbe Person sitzen und statt auf die Vorlesung auf das Tablet des Vordermanns gucken. Brav notieren und irgendwann kennst du die wichtigsten Logins. Wer achtet im Hörsaal schon, wer hinter einem sitzt?

Nun erweitern wir das mal auf sicherheitsrelevantere Bereiche. Zugangscodes des Kollegen beobachten und merken. Wird man gefeuert geht man nicht mit seinen Codes rein (sind vmtl. eh gesperrt), sondern mit denen des Kollegen.

Das sind die Gründe, warum regelmäßige Passwortwechsel mMn vernünftig sind. Wer natürlich wie ein Einsiedler lebt und nur von seinem Desktoprechner zu Hause auf Onlinedienste zugreift, für den ist das i.d.R. nutzlos.

Und im Übrigen müssen Hacks nicht zur sofortigen Ausnutzung führen. Ein Datenbankhack muss auch erstmal einen Interessenten finden und dann anständig beleuchtet werden. Wie dognose schreibt: Kollisionen finden, doppelte Hashs produzieren. Das kann schon etwas dauern, auch wenn man den Salt kennt (den man ja auch erstmal herausfinden muss).
 
@ElDaRoN: Datenbank Hacks funktionieren mit Rainbow Table oder gar nicht (Salt).

Wenn ein Salt verwendet wird ist ein Angriff auf eine Passwort-Datenbank exakt das gleiche wie ein Brute Force gegen ein einzelnes Passwort. Ohne Hintergrundinformation, was da zu holen ist, macht das niemand.

Zugangscodes bei Mitarbeitern...die gehören komplett gewechselt, wenn jemand die Firma verlässt. Da brauche ich keinen regelmässigen Turnus.

Und bei den anderen Beispielen glaubst du, dass das Wechseln des Passworts einmal im Jahr irgendwas bringt?
Kommentar abgeben Netiquette beachten!