Dropbox wil dat meer gebruikers hun account met twee factor-authenticatie beveiligen, aangezien het aantal gebruikers dat dit nu heeft gedaan te laag is, zo laat de cloudopslagdienst in een interview met Security.NL weten. We spraken met Mark Crosbie, Trust en Security Manager bij Dropbox.
De afgelopen weken verschenen de databases van allerlei grote websites online die al in het verleden waren gehackt. Aanvallers kregen zo de beschikking over miljoenen wachtwoorden en e-mailadressen. Gebruikers die hetzelfde wachtwoord voor meerdere online diensten en websites gebruiken lopen het risico dat aanvallers met de gestolen gebruikersnamen en wachtwoorden ook bij andere diensten proberen in te loggen. De afgelopen periode probeerden aanvallers op deze manier gebruikers van Netflix, Amazon, TeamViewer, cloudback-updienst Carbonite en computerbeheerdienst GoToMyPC aan te vallen. Deze diensten besloten in sommige gevallen van alle gebruikers het wachtwoord te resetten.
Ook Dropbox krijgt met dergelijke aanvallen te maken, zo stelt Crosbie. Om de impact van dergelijke aanvallen te verkleinen zoekt het beveiligingsteam van Dropbox proactief naar gelekte databases en lijsten met gestolen inloggegevens. Daarnaast wordt eraan de achterkant naar verdacht gedrag gekeken om bijvoorbeeld grootschalige aanvallen met gestolen inloggegevens te detecteren.
In het geval Dropbox misbruik vermoedt wordt het account van de betreffende gebruikers proactief vergrendeld. “Gebruikers reageren hier heel positief op”, aldus Crosbie. Na het verschijnen van gestolen databases op internet is er volgens Crosbie wel een kleine piek in het aantal aanvallen zichtbaar waarbij wordt geprobeerd om met de gestolen inloggegevens op Dropbox-accounts in te loggen, maar valt de omvang mee. "De meeste criminelen weten dat dit gegevens van oudere datalekken zijn en zoeken daarom naar iets nieuws."
Niet alleen gebruikers zijn de dupe van dergelijke grote datalekken, ook bedrijven kunnen er last van krijgen. Volgens Crosbie is het lastig om de echte datalekken van de “ruis” te onderscheiden. “We zien veel cybercriminelen die van andere cybercriminelen profiteren.” Zo worden gegevens van oudere datalekken als een nieuw datalek aangeboden. “Dat zorgt voor veel verwarring en mensen weten niet meer wat ze moeten geloven”, aldus Crosbie. Bedrijven kunnen hierdoor op den duur alle meldingen van datalekken negeren, ook de legitieme.
Om het lastiger voor aanvallers te maken ondersteunt Dropbox net als andere partijen twee-factor authenticatie. In dit geval moet er naast het wachtwoord met een aanvullende code, verkregen via sms of authenticator, worden ingelogd. "Net als andere grote internetbedrijven moedigen we gebruikers aan om twee-factor authenticatie te gebruiken", zegt Crosbie. Ondanks de extra beveiliging die twee factor-authenticatie biedt, hebben veel gebruikers dit niet ingeschakeld.
Dropbox wil geen exact percentage vertellen, maar wel dat het om 'single digits' gaat, dus minder dan 10%. Ook stelt de opslagaanbieder dat dit te laag is. Uit een onderzoek onder gebruikers van Google dat vorig jaar werd gepresenteerd (pdf) bleek voor 6,4% van de Google-accounts twee-factor authenticatie was ingeschakeld. "Er is één ding dat ik aan al mijn vrienden en familie vraag: of ze alsjeblief twee-factor authenticatie voor al hun diensten willen instellen", laat Crosbie weten. Hij benadrukt dat het belangrijk is om tegen mensen te blijven zeggen dat ze dit moeten doen.
"We werken in een wereld waar we het gebruik van twee-factor authenticatie aanmoedigen, maar we moeten ook beseffen dat veel mensen dit niet zullen doen. Elk beveiligingssysteem dat we intern ontwikkelen gaat dan ook alleen uit van gebruikers die deze extra stap niet willen doen. We moeten dus ook deze gebruikers kunnen beschermen." Wel is er volgens Crosbie een trend zichtbaar waarbij mensen na een groot datalek twee-factor authenticatie instellen. "Maar ongeacht of er een datalek heeft plaatsgevonden blijven we erop hameren dat mensen dit moeten inschakelen."
Deze posting is gelocked. Reageren is niet meer mogelijk.