Zwei-Faktor Authentifizierung bei Dropbox

Posted by Tobias on 2012-08-27 at 1:03 pm

Ab sofort steht für die Anmeldung auf der Dropbox Webseite und Geräteregistrierung eine Zwei Faktor Authentifizierung bereit. In der aktuellen Desktopclient Beta Version und auch in den mobilen Apps ist die Funktionalität bereits enthalten.

Trotz des Betastadiums lässt sich die Zwei-Faktor Anmeldung bereits für Jedermann über den Link https://www.dropbox.com/try_twofactor/ freischalten und einrichten. Der zusätzlich zum Passwort benötigte 6-stellige Code wird dann entweder per SMS an das Mobiltelefon gesendet oder kann über die Google Authenticator App auf Smartphone & Co. generiert werden. Die Authentifizierung funktioniert nach meinem kurzen Test einwandfrei und sichert den eigenen Dropbox Account erheblich besser als eine "Nur-Passwort" Anmeldung.

InternetSecurity
3 comments
Posted by Kurt on 2012-08-29 at 1:33 pm

Oh...

Heißt das, dass man jetzt Dropbox nicht mehr nutzen kann, ohne denen eine weitere Information über mich mitzuteilen? (also z.B. meine Google-Identität oder meine Mobiltelefon-Nummer)

Kannst du mir kurz erklären, warum diese Authentifizierung sicherer ist, als mein zufälliges 12 stelliges Passowrt?

thx und grüße :) 

Posted by Tobias on 2012-08-29 at 3:48 pm

Hallo Kurt,

Sofern du das ganze über die Google Authenticator App machst musst du Dropbox weder deinen Google Account noch deine Handynummer mitteilen. Schau dir die Aktivierung einfach mal an...

Naja wenn Jemand dein Passwort weiß hat er Zugriff auf deinen Account. Bei der Zwei-Faktor Authentifizierung muss Jemand sowohl dein Passwort kennen als auch Zugriff auf dein Mobiltelefon haben, was erheblich schwerer für "Remote" Angriffe sein dürfte - nur als Beispiel.

Grüße Tobi

Posted by Kurt on 2012-08-30 at 10:16 am

So habs mir angeschaut :) Verstehe jetzt, den Hintergrund der für einen Multifactor Anmeldung spricht (verteilen der Secrets auf unterschiedliche Bereiche)

Wenn jetzt jemand mein 16Stelliges Google-Authenticator Secret rausbekommt habe ich aber wieder ein Problem, richtig? (Denn dann kann der Angreifer sich selber die PINs ausrechnen)

Und dann ist dieses 16Stellige Secret für jeden Google-Account eindeutig. Du hast vermutlich recht, dass Dropbox mein Google-Account nicht übermittelt bekommt. Aber Google weiß durch diese Authentifizierung welche Dienste (die nicht von Google selbst kommen) ich im Internet sonst noch nutze. 

Andererseits mach ich mir auch keine Illusionen mehr, Google weiß alles über mich :)

Aber ein spannendes Thema,

Grüße 

Comment on This Post