Dropbox chce, bym zmienił hasło. Chyba nie wie, ile to roboty

Dropbox chce, bym zmienił hasło. Chyba nie wie, ile to roboty

Dropbox chce, bym zmienił hasło. Chyba nie wie, ile to roboty

Dropbox przywitał mnie dziś rano mailem o konieczności zmiany hasła, którego nie aktualizowałem od połowy 2012 r. I wkurzył mnie niemiłosiernie, bo roboty z tym od cholery.

Dropbox resetowanie hasła

Wiadomość raczej uspokajająca, prawda?

Prawdopodobnie chodzi jednak o wyciek danych, właśnie z 2012 r., które w ostatnich dniach trafiły do nielegalnej sprzedaży w Sieci.

Zresztą potwierdza to sam Dropbox odsyłając do następującego komunikatu:

Nasze zespoły ds. bezpieczeństwa stale wypatrują nowych zagrożeń dla użytkowników. W ramach tych czynności dowiedzieliśmy się o starym zbiorze poświadczeń użytkowników Dropbox (adresów e-mail oraz zahashowanych haseł z ciągiem zaburzającym), które według nas zostały pozyskane w 2012 r. Z naszych analiz wynika, że poświadczenia te mają związek ze zdarzeniem, które ujawniliśmy mniej więcej w tym czasie.

W oparciu o prowadzony przez nas monitoring zagrożeń i nasz sposób zabezpieczania haseł nie uważamy, aby doszło do nieuprawnionego dostępu do jakiegokolwiek konta. Niemniej jednak w ramach szeregu środków ostrożności prosimy użytkowników, którzy nie zmieniali hasła od połowy 2012 r., aby zaktualizowali je przy następnym logowaniu.

I ok, cieszę się, że Dropbox dba o moje bezpieczeństwo, nawet mimo tego, że (chyba) nie doszło do bezpośredniego zagrożenia utraty dostępu do moich danych.

Nie wiem tylko, czy taki Dropbox zdaje sobie sprawę z tego, co musiałbym zrobić, by skutecznie zmienić hasło.

Otóż nie wystarczy tylko zalogować się do wersji webowej serwisu i tam po prostu zmienić hasło na nowe. Z Dropboksa korzystam przecież na wielu urządzeniach komputerowych – zarówno tych stacjonarnych (dwa kompy), jak i mobilnych (dwa smartfony, tablet). Wszędzie tam trzeba będzie przelogować się na nowe hasło. A że hasło do Dropboksa – jednej z najważniejszych i najbardziej drażliwych dla mnie usług internetowych – musi być naprawdę mocne, wpisywanie go w kolejnych aplikacjach jest bardzo uciążliwe. Ale to jeszcze nie koniec! W Dropboksie mam włączoną dwustopniową weryfikację logowania, więc każdą zmianę hasła w aplikacji na kolejnych urządzeniach będę musiał autoryzować via SMS.

Sami powiedzcie, czy to normalne?

Z hasłami do usług internetowych jest coś fundamentalnie nie tak. Nie dość, że nie są wcale bezpieczne, to na dodatek trzeba by ich znać na pamięć kilkadziesiąt, o ile nie kilkaset, nie mówiąc już o tym, że autoryzowanie nimi wszelakich połączeń pomiędzy serwisami internetowymi to – jak pokazałem na przykładzie Dropboksa – wyjątkowa katorga.

Jasne, można korzystać z usług tzw. menedżerów haseł (sam korzystam ze świetnego 1Password), ale nie jest to wcale bezproblemowe. No i bezpieczne, bo wystarczy przejąć jedno hasło master, by zdobyć dostęp do wszystkich naszych internetowych tożsamości.

Wiele było prób zmian w sposobie weryfikacji użytkowników usług, ale żadna do tej pory nie zastąpiła wysłużonego hasła tekstowo-liczbowego. Zresztą to jedna z tych rzeczy, która jest z nami od początku internetu. Teraz w dobie setek usług internetowych, z których korzystamy na co dzień, logowania się kontami jednych usług w drugich, hasła tekstowe są i mało skuteczne, i mocno uciążliwe.

Ktoś, kto wymyśli, czym je zastąpić, zarobi gigantyczne pieniądze. Dziwię się, że na tym polu brak prawdziwych innowacji.

Dołącz do dyskusji

Advertisement