Bereits im Jahr 2012 wurde die Datenbank bei Dropbox gehackt und 68 Millionen E-Mail-Adressen und Passwörtern gestohlen. Natürlich landen gestohlene Passwörter dann immer schnell im Dark Web und werden zum Kauf angeboten. 1200 US$ sollte der Satz kosten. Nach nun vier Jahren sind sie jetzt öffentlich. Heruntergeladen werden kann eine Datenbank, die genau 68,680,741 Dropbox-Accounts beinhaltet und etwa 5 GB groß ist. Zur Verfügung gestellt werden die Daten von Thomas White, der den Datensatz auf seiner Seite spiegelt. Seine Absicht: Die Daten sollen denjenigen helfen, die Schwierigkeiten haben, eine verlässliche Quelle für ihre Forschungen zu finden.
Passwörter verschlüsselt
Von den mehr als 68 Mio. gestohlenen Passwörtern steht keines im Klartext. Alle sind verschlüsselt. Dennoch sind nicht alle gleich stark verschlüsselt. Rund die Hälfte ist mit dem sicheren bcrypt-Hash-Verfahren geschützt. Bei den anderen kommt lediglich ein einfacher SHA1-Hash mit Salt zum Einsatz. Dieser Schutz reicht nicht, da er vergleichsweise schnell und effizient zu knacken ist.
Was muss ich jetzt unternehmen?
Die Empfehlung liegt klar auf der Hand. Wer sein Passwort seit 2012 nicht mehr geändert hat, sollte das jetzt spätestens nachholen. Wer außerdem das Kennwort bei mehreren seiner Accounts benutzt, hat nun zusätzlichen Aufwand, denn alle Konten mit diesem Passwort sind jetzt gefährdet. Aus diesem Grund sollte nie ein und dasselbe Passwort für mehrere Accounts benutzt werden. Wer sich Kennwörter nicht gut merken kann, sollte einmal diesen Artikel zu Passphrasen lesen.
Wer sein Passwort bei Dropbox ändern möchte, sollte gleich die zweistufige Überprüfung bzw. 2-Faktor-Authentifizierung aktivieren. Selbst wenn diese Sicherheitsfunktion nur optional ist, trägt sie doch erheblich zur eigenen Cloud-Security bei. Das Ergebnis: Zur Eingabe des Passworts muss ein sechsstelliger Sicherheitscode eingegeben werden. Dieser wird auf das Smartphone geschickt, um eine zusätzliche Authentifizierung zu gewährleisten. Dazu hat Dropbox eine kurze Einführung geschrieben, die hier zu finden ist.
Mittlerweile bieten die meisten namhaften Unternehmen eine 2-Faktor-Authentifizierung an und leisten damit einen guten Beitrag zur Erhöhung der Sicherheit von User-Accounts.
