Video: How to enable Dropbox two factor authentication (Nobyembre 2024)
Kung gumagamit ka ng Dropbox upang mag-imbak ng iyong mga file, isaalang-alang ang post na ito na isang paalala na dapat mong gamitin ang pagpapatunay na two-factor para sa serbisyo ng ulap.
Isang hindi kilalang indibidwal ang nag-post ng daan-daang mga username at password na sinasabing kabilang sa Dropbox account sa text-sharing site na Pastebin nitong Lunes. Sinabi ng gumagamit ng Pastebin na ang sample ay isang maliit na maliit na bahagi ng isang listahan na binubuo ng kasing dami ng 7 milyong nakompromiso na mga account sa Dropbox.
"Patuloy naming ilalabas ang higit pa sa publiko habang ang mga donasyon ay pumasok, ipakita ang iyong suporta, " sabi ng pahayag ng Pastebin na kasama ang password dump.
Hindi Na-hack ang Dropbox
Kung sakaling nag-aalala ka na ang iyong mga file at larawan ay ninakaw, sinabi ni Dropbox na walang dapat alalahanin.
"Ligtas ang iyong mga gamit, " Anton Mityagin, isang miyembro ng security team ng Dropbox, ay sumulat sa isang post sa blog na iginiit na ang Dropbox ay hindi pa na-hack. "Ang mga username at password na isinangguni sa mga artikulong ito ay ninakaw mula sa mga hindi kaugnay na serbisyo, hindi Dropbox."
Ang serbisyo ng ulap ay inaangkin ng mga umaatake na binalik ang username at password na mga kumbinasyon mula sa iba pang mga paglabag sa serbisyo at pagkatapos ay sinubukan ang pag-log in sa iba't ibang mga site sa buong Internet, kabilang ang Dropbox. Dahil ang paggamit ng password ay laganap sa kabila ng paulit-ulit na mga babala na hindi, ang mga nag-atake ay nag-iipon ng isang listahan ng mga kredensyal ng account.
Kahit na ang Dropbox mismo ay hindi nasira, hindi ba nanganganib ang aking mga file mula nang nakalantad ang mga kredensyal ng aking account? Inangkin ng Dropbox na hindi iyon ang kaso habang regular na sinusubaybayan ang lahat ng mga account upang subaybayan ang ganitong uri ng kahina-hinalang aktibidad sa pag-login. Inaangkin din ni Dropbox na sinuri nito ang mga listahan na nai-post sa Pastebin at kinumpirma na hindi sila nauugnay sa mga account sa gumagamit.
"Mayroon kaming mga hakbang sa lugar upang makita ang kahina-hinalang aktibidad sa pag-login at awtomatiko naming i-reset ang mga password kapag nangyari ito, " sulat ni Mityagin.
Masamang Paggamit ng Password ay Masama
Kung ang iyong account ay isa sa mga nakilala ng mga umaatake, malamang na binago ng Dropbox ang iyong mga password. Kaya una sa lahat, itigil ang muling paggamit ng iyong mga password sa buong serbisyo. Huwag gumamit ng parehong password, kahit na sa palagay mo ang mga account ay hindi naglalaman ng sensitibong impormasyon at hindi mahalaga.
Sa kasamaang palad, sa kabila ng mga kamakailang paglabag na inilalantad ang mga password ng gumagamit, ang mga tao ay hindi lilitaw na nakakakuha. Si Troy Hunt, ang tagasaliksik ng seguridad sa likod ng HaveIBeenPwned.com, ay nagsabi sa SecurityWatch noong nakaraang buwan na inaasahan niya ang ilang mga overlay sa pagitan ng mga listahan ng password mula sa iba't ibang mga paglabag sa data. Ang database ng HaveIBeenPwned ay naglalaman ng mga listahan ng password mula sa higit sa 30 mga site at hinahayaan ang mga gumagamit na suriin kung ang kanilang mga account ay kabilang sa mga na-expose.
"Hindi lamang namin sapat na binago ang mga gawi ng password" na hindi magkakaroon ng overlay sa mga paglabag sa data, sinabi ni Hunt.
Two-Factor Ngayon
Kahit na hindi mo pa ginamit ang mga password, ang iyong account ay mahina pa rin sa mga pag-atake ng brute-force, lalo na kung mahina ang password. Nararapat din na tandaan na kahit na ang malakas at kumplikadong mga password ay maaaring mapipilit, lalo na kung ang sumalakay ay may sapat na mapagkukunan sa pag-compute, oras, at pagganyak. Ito ang dahilan kung bakit dapat mong i-on ang dalawang hakbang na pag-verify sa anumang serbisyo na nag-aalok nito. Sa kabutihang-palad para sa amin, ang Dropbox ay isa sa mga serbisyong iyon at medyo madali itong i-set up.
"Ang mga pag-atake tulad nito ay isa sa mga kadahilanan kung bakit mariing hinihimok namin ang mga gumagamit na huwag gumamit muli ng mga password sa buong serbisyo. Para sa isang idinagdag na layer ng seguridad, lagi naming inirerekumenda ang pagpapagana ng 2 hakbang na pag-verify sa iyong account, " sulat ni Mityagin.
Pinagsasama ng dalawang hakbang na pag-verify ang mga password, o "isang bagay na alam mo, " gamit ang isang mobile device, o "isang bagay na mayroon ka, " upang maiwasan ang mga maling pagtatangka sa pag-login. Kung pinagana mo ang dalawang salik sa iyong Dropbox account, makakatanggap ka ng isang anim na digit na code ng seguridad sa iyong mobile phone o magkaroon ng isang code na nabuo mula sa Google Authenticator app. "Ang pagkakaroon ng dalawang hakbang kaysa sa isa lamang ay lumilikha ng isang mas malakas na hadlang laban sa mga umaatake, " sinabi ni Dropbox.
Inirerekumenda namin ang paggamit ng isang tagapamahala ng password tulad ng LastPass upang gawing mas madali upang makabuo ng mga natatanging password na kumplikado din. Ngunit habang maaari nilang pabagalin ang mga umaatake, hindi sila tanga. Ang two-factor na pagpapatotoo ay maaaring maging mas maginhawa at mabagal, ngunit sulit ang labis na pagsisikap kung pinipigilan ang mga attackers na madaling masira sa iyong account.
