A causa della recente perdita di credenziali di Dropbox, mi chiedo se la mia autenticazione a fattore secondo sarà sufficiente per essere sicura. Ho controllato la mia posta nel link e sembra essere stata compromessa.
Uso Google Authenticator come utilità di autenticazione a due fattori, questa configurazione è sufficiente?
Ciò che è sufficiente per una persona potrebbe non essere per un'altra persona (ci sono persone che non hanno problemi a vedere il loro computer infettato da diverse backdoor e malware, a patto che abbiano ancora accesso a Internet è sufficiente per loro ...) , quindi il nocciolo della tua domanda potrebbe essere davvero basato sull'opinione pubblica. Cercherò di attenermi ai fatti, spetterà a te decidere se questo è abbastanza per te.
AFAIK, l'hacking di DropBox in sé non è nuovo, è solo una conferma dei dati effettivi trapelati durante un hack accaduto nel 2012. È ora confermato che il database degli utenti è stato rubato, ma le password sono state (per lo più) protette utilizzando le misure di protezione corrette utilizzando hash crittografici non reversibili.
Ciò significa che il database rubato non conteneva la tua password letteralmente, ma solo una sorta di checksum derivato dalla password e che consente di autenticarti. Ciò che gli aggressori faranno è cercare di indovinare quante più password possibile in questa lista controllando le parole comuni, le combinazioni di alterazione e caratteri.
Se la tua password era molto strong, è possibile che rimane sconosciuta nonostante la perdita.
Se viene trovata la password, quindi:
Associati al tuo indirizzo e-mail e possibilmente ad altre informazioni, gli hacker proveranno a riutilizzarlo per ottenere l'accesso non solo a DropBox, ma anche ad altri account che possiedi altrove. Per l'utente malintenzionato, tali account possono avere un valore diretto (esempio banale: ordina alcuni beni a tue spese) o indirettamente (ad esempio impersonando chiedi aiuto monetario alle tue relazioni).
La password verrà aggiunta nella parte inferiore del loro elenco di password ben note da provare su ulteriori perdite o per alimentare robot che eseguono la scansione del Web cercando di accedere ad alcuni account casuali.
Quindi, per riassumere:
Per quanto riguarda il tuo accesso a DropBox stesso (o qualsiasi altro servizio che potresti utilizzare offrendo un'autenticazione simile a 2 fattori), nella peggiore delle ipotesi la sua sicurezza ora risiederà solo nella sicurezza di Google Authenticator, ma potrebbe trova "abbastanza",
Riguardo la tua password, due scenari:
O non era molto complesso (più facile da ricordare e digitare velocemente) o conteneva meno di 8 caratteri: consideralo avvitato, gli attaccanti fai lo sai. Se ci sono altri servizi che accettano la tua email come login e questa password per l'autenticazione e che apre la possibilità di qualsiasi beneficio diretto o indiretto per l'attaccante, allora considera che è solo una questione di tempo prima che alcuni aggressori possano accedere a questi servizi. p>
O era complesso, quindi è solo una questione di fortuna. Se consideri questo sufficiente o no è completamente a te e al tuo caso d'uso.
No. Non è abbastanza. È necessario affidarsi al servizio per gestire correttamente il secondo fattore. Quindi devi fidarti di dropbox.
L'autenticatore di google calcola probabilmente il valore OTP basato su TOTP ( RFC6238 ) (infatti può eseguire HOTP e TOTP ). Cioè se hai registrato un TOTP di Google Authenticator con dropbox, Dropbox deve salvare la chiave segreta simmetrica. Se sono stupidi, lo salveranno nella stessa tabella di database come la password con hash. Se l'utente malintenzionato recupera la riga dell'utente di questa tabella, l'utente malintenzionato ha
a) la password hash e può iniziare un attacco come @WhiteWinterWolf e
b) può utilizzare la chiave segreta TOTP (se non è stata crittografata) per calcolare immediatamente i valori TOTP. (vedi anche link )
Quindi, utilizzando un 2 ° fattore registrato in un servizio non significa immediatamente, sei più sicuro.
Il tuo account Dropbox sarà al sicuro finché continuerai a utilizzare 2FA.
Tuttavia, come hai detto nei tuoi commenti, potresti utilizzare la stessa password su altri servizi, quindi se tali servizi non sono protetti da 2FA, sono vulnerabili.
In altre parole, chiunque abbia accesso alla perdita conosce la tua email e la tua password. Probabilmente verrà eseguito uno script per verificare se tali credenziali funzionano in altri servizi comuni, quindi a un certo punto qualcuno scoprirà che hai riutilizzato la tua password per altri servizi e che avrà accesso al tuo account in quel servizio.
Leggi altre domande sui tag multi-factor