Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 42, views: 19.214 •

Dropbox heeft een bètaversie van zijn client online gezet die ondersteuning biedt voor two-step-authentication. Als dit is inschakeld moeten gebruikers een per sms gestuurde of via een app gegenereerde code invoeren bij het inloggen.

Dropbox logo (60 pix)Als two-step-authentication is ingeschakeld moet een gebruiker die vanaf een nieuwe locatie of nieuw apparaat inlogt op Dropbox naast zijn gebruikersnaam en wachtwoord ook een verificatiecode invullen. De verificatiecodes kunnen via sms verstuurd worden, maar gebruikers kunnen ook een app inzetten om de codes te genereren. Elke app die werkt met het Time-based One-Time Password-protocol, kan ingezet worden. Android-, iOS- en BlackBerry-gebruikers kunnen daarvoor bijvoorbeeld Googles Authenticator-app gebruiken.

De bètaversie wordt op het forum van Dropbox aan gebruikers aangeboden en is beschikbaar voor Windows, Mac OS X en Linux. Dropbox legt op een pagina in zijn Help Center uit hoe de optie geconfigureerd moet worden. Na installatie van de nieuwe bèta moeten gebruikers via de website van Dropbox aangeven dat ze two-step-authentication willen gebruiken. Bij het inschakelen wordt ook een backup code gegenereerd waarmee gebruikers toegang kunnen krijgen tot hun account als ze om welke reden dan ook geen vertificatiecode kunnen ontvangen of genereren.

Dropbox kondigde de ondersteuning voor two-step-authentication eind juli aan, nadat bekend was geworden dat op accounts van verschillende gebruikers was ingelogd met gegevens die bij een hack op een andere website vergaard waren. Een van die accounts behoorde toe aan een Dropbox-medewerker die in zijn Dropbox een bestand had staan met daarin e-mailadressen van een onbekend aantal gebruikers. Het bedrijf vermoedt dat deze lijst gebruikt is om spammails te versturen.

Reacties (42)

of geen wp7 / 8 of ios... of bbos...

waarom hier die android troll bij moet? echt... !

verder, heb ik die time based password protocols nog niet eerder gezien...
maar betekend het niet juist dat elke pc gebruikt kan worden voor die session key, het protocol is immers bekend en ik ga niet uit van een smartcard ofzo... hoe werkt zoiets?
het werkt net zo als je rabo smartcard reader, met je user pass ipv bankpas pin
Time Based One Time Passwords maken gebruik van een cryptografische robuuste formule om elke 30 seconden een nieuwe code te generen. Dit doen ze door een voorafgesproken "seed" afhankelijk van de tijd te manipuleren.
Het zwakste punt in deze methode is dat als de seed wordt onderschept, je hele veiligheid in het geding komt.

Als je echt de gegenereerde code onderschept is het onmogelijk om de volgende code af te leiden, zelfs je een flink aantal van deze codes onderschept kan je nog niet de volgende code afleiden.
Google gebruikt deze methode ook en er is een prima gratis app beschikbaar op Android waarmee je deze codes kan genereren. Het enige probleem is als je regelmatig van rom wisselt dat het opzetten van google authenticator (zo heet de app) dan wat moeite kost.
't Is two-step. Dus zolang je wachtwoord niet op je telefoon staat, maakt een virus niet heel veel uit (je valt dan terug op one-step: je wachtwoord).
Ik heb het net geprobeerd en het werkt best goed! Zeer mooi dat ik ook voor dropbox two step authentication kan gebruiken :). Gebruikte het ookal voor google diensten. Zeer netjes. Wel jammer dat er eerst iets moest gebeuren voordat ze dit hebben geimplementeerd.
Zoals bij mijn gmail, heel secure, ben er erg tevreden van al is het een beetje omslachtig(er) ...
Mooie ontwikkeling. Het was al in Juli aangekondigd en heeft in mijn ogen wel nog lang op zich laten wachten.
Ik zie er alleen het voordeel op dit moment niet van in? Gezien, zo lang ze de oude clients niet blokkeren je nog altijd met gehackte gegevens in een dropbox account kan inloggen. Ook de website maakt hier nog geen gebruik van.
(Ja ik weet dat het nog een beta is ;))
Het lijkt me dat de oude client gewoon niet meer kan inloggen als je two step authentication hebt ingeschakeld.
Als je nu de stable client (1.4.7) download, moet je ook al two-factor inloggen. De ondersteuning is er dus niet alleen in de bèta client.
En de website maakt er ook al gebruik van. :)
Neem dan voor de zekerheid meteen de laatste 1.4.12
Erg goede toevoeging, menigeen gebruikt Dropbox ook voor gevoelige documenten.. Neemt echter toch een andere onzekerheid niet weg; de Dropbox leaks in het verleden hadden niet per sé te maken met unauthorized account access, maar met de infrastuctuur van het systeem. Hiermee vangt Dropbox dus een minder veilige factor af, maar de zwakste schakel blijft in mijn ogen de infrastructuur zelf..
Tsja, dat blijf je houden - remote storage is altijd een kwestie van vertrouwen op de sysadmin skills van anderen. Lokale storage is het vertrouwen op de sysadmin skills van jezelf.

Maar inmiddels hebben alle grote cloud storage spelers nu dus 2-factor authentication: Skydrive, Google Drive, Dropbox, Amazon S3, etc etc.
Skydrive heeft niet echt 2-factor authentication! Je kunt er voor kiezen om in te loggen met een SMS in plaats van een wachtwoord, maar als ik je username en wachtwoord heb kan ik echt bij je SkyDrive informatie. Zover ik weet is het dus geen echte bescherming. Het geeft je alleen de mogelijkheid als je werkt op een computer die je niet vertrouwt om in te loggen zonder je wachtwoord in te typen.

Microsoft is hierin echt een laggard. Zo heb je Live-ID ook nodig voor Microsoft Azure, ofwel servers/data/databases in te cloud. Er is op dit moment geen goede beveiliging mogelijk tenzij je Shell (of ander zeer groot bedrijf) heet.

Als ik er naast zit, hoor ik het graag! (met bronvermelding)
Ah yep die 2-factor authenticatie is alleen te forceren bij SkyDrive Fetch en de billing/Xbox functies, de rest is optioneel.
Als je daarvoor bang bent moet je Wuala (http://www.wuala.com/) gebruiken. Die encrypt alles op jouw pc voordat het richting de remote servers gaat waardoor zelfs bij diefstal van de fysieke disks niemand bij jouw data kan.

Je vraagt je af waarom dropbox niet hetzelfde hanteert. Wat ik nu vaak zie is dat mensen binnen dropbox een TrueCrypt container aanmaken en daarin hun bestanden opslaan.
wuala zet jouw bestanden bij andere wuala gebruikers op de pc, dat is lekker veilig.
Erg fijn dat dit gewoon via de gmail app werkt, moet er niet aan denken dat je straks tig app krijgt om overal goed in te kunnen loggen.
Dit wel een goede ontwikkeling alleen wat ik nog erg slecht vind van dropbox is dat de bestanden lokaal onbeveiligd opgeslagen worden. Een ieder met toegang tot je computer kan daar gewoon bijkomen.
Da's het probleem met elke sync service - een applicatie heeft nou eenmaal geen invloed op de rechten die je aan lokale storage toekent. Met Bitlocker of File Vault kan je lokaal wel alles encrypten.

[Reactie gewijzigd door Dreamvoid op 27 augustus 2012 11:51]

Dat klopt niet helemaal. Google Drive encrypt standaard WEL alle files op Android filesystemen. In tegenstelling tot Dropbox waar je met een filebrowsertje zo even de op SDcard opgeslagen file'tjes kunt openen. Dat is 1 vd de redenen waarom ik ben overgestapt naar Drive.
Op Windows worden de bestanden niet encrypted opgeslagen; is dus een risico als je je laptop verliest (of je desktop wordt bij inbraak gestolen). Wanneer je de Professional versie hebt kun je eenvoudig een folder encrypten, echter werkt dat niet lekker samen met Dropbox is mijn ervaring. Daar stonden naar verloop van tijd gewoon ongecodeerde bestanden tussen, terwijl de bovenliggende folder encrypted was... Kennelijk werkt DB niet goed samen met EFS. Ik weet eigenlijk niet of dit wel lekker werkt met Google Drive; zal nog eens proberen...
En op Linux kun je eenvoudig je home folder encrypten bij installatie.
Gewoon bitlocker aanzetten op je windows systeem. Dan is alles op je systeem encrypted en applicaties merken er niets van.
Dit hebben alleen de Ultimate en Enterprise versies. Welke (betalende) consumenten hebben dat?
In dat geval koop je gewoon een willekeurige HDD/SSD met drive-level encryption.
Of je gaat aan de slag met hackintosh, of Linux, etc.

[Reactie gewijzigd door Dreamvoid op 27 augustus 2012 15:48]

Op PC's die je niet vertrouwt kun je natuurlijk Dropbox gewoon niet installeren, en de webclient gebruiken om bij je bestanden te komen. Verder: encryptie inschakelen, je account altijd locken als je bij de PC wegloopt, of misschien dropbox bestanden op een USB stick zetten ipv je harde schijf.
Handig!! Gebruikte bij Google Apps al de Google Authenticator app. Kan die dus ook mooi gebruiken voor dropbox! Werkt super goed dusver. :) Goed bezig die jongens van Dropbox!
Huh? Denk je dat je de Google Authenticator app kunt gebruiken om voor Dropbox een code aan te maken? Gaat toch niet werken???
A valid code can also be obtained by using an application that supports the Time-Based One-Time Password protocol, such as Google Authenticator, Amazon AWS MFA or Authenticator, according to Dropbox. Apple users can opt to generate a code from the terminal application using the OATH tool, Dropbox said.
Gestandaardiseerd protocol dus :)
Thanks man.... en super relaxt! Gewoon één app op je phone waar je al je "extra" sign-ons mee regelt.
denkt ie niet het is ook zo werkt prima ;)
Gaaf, net even ingesteld, werkt zonder problemen. Je kan een QR code scannen (https://dl.dropbox.com/u/1656836/2fa/scan-barcode.png) of ervoor kiezen om de code handmatig in te voeren. Dit scannen van de QR code wilde niet (ik gebruikte Google Authenticator) ondanks dat deze wel de functie ondersteund. Ik heb de code dus handmatig ingevoerd.

Ik moest overigens wel eerst uitloggen en opnieuw inloggen voordat om de code gevraagd werd. Het lijkt er dus niet op dat je oude apparaten vanzelf om authenticatie vragen. Misschien wel handig, als je Dropbox veilig wilt gebruiken, om deze handmatig eruit te schoppen en opnieuw toe te voegen via de security tab in je account pagina: https://www.dropbox.com/account#security

Trouwens mooi dat steeds meer diensten authenticators gaan ondersteunen! Voelt toch een stuk veilger - al is het natuurlijk nog steeds niet 100% safety.
Je weet dat die QR een persoonlijke code bevat? Als een Tweaker nu je account+wachtwoord heeft, kan hij een code genereren en heb je niets aan 2-step verificatie ;)
Dit is een "voorbeeld" QR code, niet de QR code die ik op mijn scherm kreeg. ;)
Dit snap ik niet, als de pre shared secret gewoon op een publieke url staat dan voegt dit toch geen enkele extra veiligheid toe? Of misschien snap ik niet voldoende van het two-step-authentication process.
Zie mijn reactie hierboven, de QR code is niet van mijzelf, maar wordt als voorbeeld code getoond. :>
Dit ken ik wel van facebook. Heb daar de veiligheid verhoogt door gebruik te maken van Code Generator.

Op dit item kan niet meer gereageerd worden.



Populair: Websites en communities Smartphones Beheer en beveiliging Apple Sony Microsoft Games Politiek en recht Consoles Besturingssystemen

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013