Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 42 reacties, 19.312 views •

Dropbox heeft een bètaversie van zijn client online gezet die ondersteuning biedt voor two-step-authentication. Als dit is inschakeld moeten gebruikers een per sms gestuurde of via een app gegenereerde code invoeren bij het inloggen.

Dropbox logo (60 pix)Als two-step-authentication is ingeschakeld moet een gebruiker die vanaf een nieuwe locatie of nieuw apparaat inlogt op Dropbox naast zijn gebruikersnaam en wachtwoord ook een verificatiecode invullen. De verificatiecodes kunnen via sms verstuurd worden, maar gebruikers kunnen ook een app inzetten om de codes te genereren. Elke app die werkt met het Time-based One-Time Password-protocol, kan ingezet worden. Android-, iOS- en BlackBerry-gebruikers kunnen daarvoor bijvoorbeeld Googles Authenticator-app gebruiken.

De bètaversie wordt op het forum van Dropbox aan gebruikers aangeboden en is beschikbaar voor Windows, Mac OS X en Linux. Dropbox legt op een pagina in zijn Help Center uit hoe de optie geconfigureerd moet worden. Na installatie van de nieuwe bèta moeten gebruikers via de website van Dropbox aangeven dat ze two-step-authentication willen gebruiken. Bij het inschakelen wordt ook een backup code gegenereerd waarmee gebruikers toegang kunnen krijgen tot hun account als ze om welke reden dan ook geen vertificatiecode kunnen ontvangen of genereren.

Dropbox kondigde de ondersteuning voor two-step-authentication eind juli aan, nadat bekend was geworden dat op accounts van verschillende gebruikers was ingelogd met gegevens die bij een hack op een andere website vergaard waren. Een van die accounts behoorde toe aan een Dropbox-medewerker die in zijn Dropbox een bestand had staan met daarin e-mailadressen van een onbekend aantal gebruikers. Het bedrijf vermoedt dat deze lijst gebruikt is om spammails te versturen.

Reacties (42)

Reactiefilter:-142041+134+24+30
Moderatie-faq Wijzig weergave
Dit wel een goede ontwikkeling alleen wat ik nog erg slecht vind van dropbox is dat de bestanden lokaal onbeveiligd opgeslagen worden. Een ieder met toegang tot je computer kan daar gewoon bijkomen.
Da's het probleem met elke sync service - een applicatie heeft nou eenmaal geen invloed op de rechten die je aan lokale storage toekent. Met Bitlocker of File Vault kan je lokaal wel alles encrypten.

[Reactie gewijzigd door Dreamvoid op 27 augustus 2012 11:51]

Dat klopt niet helemaal. Google Drive encrypt standaard WEL alle files op Android filesystemen. In tegenstelling tot Dropbox waar je met een filebrowsertje zo even de op SDcard opgeslagen file'tjes kunt openen. Dat is 1 vd de redenen waarom ik ben overgestapt naar Drive.
Op Windows worden de bestanden niet encrypted opgeslagen; is dus een risico als je je laptop verliest (of je desktop wordt bij inbraak gestolen). Wanneer je de Professional versie hebt kun je eenvoudig een folder encrypten, echter werkt dat niet lekker samen met Dropbox is mijn ervaring. Daar stonden naar verloop van tijd gewoon ongecodeerde bestanden tussen, terwijl de bovenliggende folder encrypted was... Kennelijk werkt DB niet goed samen met EFS. Ik weet eigenlijk niet of dit wel lekker werkt met Google Drive; zal nog eens proberen...
En op Linux kun je eenvoudig je home folder encrypten bij installatie.
Gewoon bitlocker aanzetten op je windows systeem. Dan is alles op je systeem encrypted en applicaties merken er niets van.
Dit hebben alleen de Ultimate en Enterprise versies. Welke (betalende) consumenten hebben dat?
In dat geval koop je gewoon een willekeurige HDD/SSD met drive-level encryption.
Of je gaat aan de slag met hackintosh, of Linux, etc.

[Reactie gewijzigd door Dreamvoid op 27 augustus 2012 15:48]

Op PC's die je niet vertrouwt kun je natuurlijk Dropbox gewoon niet installeren, en de webclient gebruiken om bij je bestanden te komen. Verder: encryptie inschakelen, je account altijd locken als je bij de PC wegloopt, of misschien dropbox bestanden op een USB stick zetten ipv je harde schijf.
Erg goede toevoeging, menigeen gebruikt Dropbox ook voor gevoelige documenten.. Neemt echter toch een andere onzekerheid niet weg; de Dropbox leaks in het verleden hadden niet per sé te maken met unauthorized account access, maar met de infrastuctuur van het systeem. Hiermee vangt Dropbox dus een minder veilige factor af, maar de zwakste schakel blijft in mijn ogen de infrastructuur zelf..
Tsja, dat blijf je houden - remote storage is altijd een kwestie van vertrouwen op de sysadmin skills van anderen. Lokale storage is het vertrouwen op de sysadmin skills van jezelf.

Maar inmiddels hebben alle grote cloud storage spelers nu dus 2-factor authentication: Skydrive, Google Drive, Dropbox, Amazon S3, etc etc.
Skydrive heeft niet echt 2-factor authentication! Je kunt er voor kiezen om in te loggen met een SMS in plaats van een wachtwoord, maar als ik je username en wachtwoord heb kan ik echt bij je SkyDrive informatie. Zover ik weet is het dus geen echte bescherming. Het geeft je alleen de mogelijkheid als je werkt op een computer die je niet vertrouwt om in te loggen zonder je wachtwoord in te typen.

Microsoft is hierin echt een laggard. Zo heb je Live-ID ook nodig voor Microsoft Azure, ofwel servers/data/databases in te cloud. Er is op dit moment geen goede beveiliging mogelijk tenzij je Shell (of ander zeer groot bedrijf) heet.

Als ik er naast zit, hoor ik het graag! (met bronvermelding)
Ah yep die 2-factor authenticatie is alleen te forceren bij SkyDrive Fetch en de billing/Xbox functies, de rest is optioneel.
Als je daarvoor bang bent moet je Wuala (http://www.wuala.com/) gebruiken. Die encrypt alles op jouw pc voordat het richting de remote servers gaat waardoor zelfs bij diefstal van de fysieke disks niemand bij jouw data kan.

Je vraagt je af waarom dropbox niet hetzelfde hanteert. Wat ik nu vaak zie is dat mensen binnen dropbox een TrueCrypt container aanmaken en daarin hun bestanden opslaan.
wuala zet jouw bestanden bij andere wuala gebruikers op de pc, dat is lekker veilig.
Handig!! Gebruikte bij Google Apps al de Google Authenticator app. Kan die dus ook mooi gebruiken voor dropbox! Werkt super goed dusver. :) Goed bezig die jongens van Dropbox!
Huh? Denk je dat je de Google Authenticator app kunt gebruiken om voor Dropbox een code aan te maken? Gaat toch niet werken???
A valid code can also be obtained by using an application that supports the Time-Based One-Time Password protocol, such as Google Authenticator, Amazon AWS MFA or Authenticator, according to Dropbox. Apple users can opt to generate a code from the terminal application using the OATH tool, Dropbox said.
Gestandaardiseerd protocol dus :)
Thanks man.... en super relaxt! Gewoon één app op je phone waar je al je "extra" sign-ons mee regelt.
denkt ie niet het is ook zo werkt prima ;)
Mooie ontwikkeling. Het was al in Juli aangekondigd en heeft in mijn ogen wel nog lang op zich laten wachten.
Ik zie er alleen het voordeel op dit moment niet van in? Gezien, zo lang ze de oude clients niet blokkeren je nog altijd met gehackte gegevens in een dropbox account kan inloggen. Ook de website maakt hier nog geen gebruik van.
(Ja ik weet dat het nog een beta is ;))
Als je nu de stable client (1.4.7) download, moet je ook al two-factor inloggen. De ondersteuning is er dus niet alleen in de bèta client.
En de website maakt er ook al gebruik van. :)
Neem dan voor de zekerheid meteen de laatste 1.4.12
Het lijkt me dat de oude client gewoon niet meer kan inloggen als je two step authentication hebt ingeschakeld.
Maar gewoon inloggen met een certificaat, wat dus zo goed als automatisch kan, dat is er niet bij, terwijl dat veiliger, handiger, en sneller is?

Daarbij zegt het geen drol over de veiligheid van je gegevens. Je kunt nog steeds niet controleren of medewerkers van Dropbox jouw gegevens kunnen inzien. Ja dan kun je wel weer kaan encrypten, maar daarmee maak je het jezelf verschrikkelijk moeilijk, wat het hele idee weer onderuit haalt.

Ik weet zelfs wel zeker dat medewerkers (althans in theorie) jouw gegevens kunnen inzien, omdat de Amerikaanse overheid dat ook wil kunnen (ook/juist van non-US citizens). Dropbox is immers een San Fransisco based bedrijf.

Anyway, ook Dropbox heeft nu een smoes om van iedereen het telefoonnummer te mogen ontfutselen :/

[Reactie gewijzigd door _Thanatos_ op 27 augustus 2012 17:18]

Dat probleem heb je met elk extern hosting bedrijf, en zelf als je thuis je data host. Hoe weet jij dat die evil overheid niet ook gewoon remote kan inloggen op de NAS die je koopt, je Mac, je router? Heeft de NSA geen master key voor File Vault of Bitlocker? Dat DD-WRT image dat je binnen hengelt, zit daar een back door in?

Of bij een 100% Europees cloud-storage bedrijf, wat als daar een Amerikaanse mol werkt die alsnog je gegevens doorstuurt? (zie de soap rond de CD met Zwitserse bankgegevens)

Als je werkelijk dingen geheim wilt houden zal je de boel zelf moeten encrypten met software die je zelf compiled hebt en waar je zelf de code hebt geaudit op backdoors.

[Reactie gewijzigd door Dreamvoid op 27 augustus 2012 18:06]

Dat probleem heb je met elk extern hosting bedrijf
Niet als ze in de EULA garanderen dat hun "eigen personeel en apparatuur jouw gegevens niet kunnen inzien, omdat dat technisch onmogelijk is". Iets in die richting. Zeker als je te maken hebt met een Nederlandse aanbieder, hebben ze zich daaraan te houden.
en zelf als je thuis je data host
Nee, dan juist niet.
Hoe weet jij dat die evil overheid niet ook gewoon remote kan inloggen op de NAS die je koopt, je Mac, je router?
Omdat ik een firewall heb die dat soort praktijken blokkeert. Als ik erachter kom dat de politie of wie dan ook bovenwettelijk aan mijn spullen komt, hebben ze een aanklacht aan hun broek.
Heeft de NSA geen master key voor File Vault of Bitlocker?
Als dat zo was, had Microsoft allang een heule dikke boete van de EU gekregen, want wij Europeanen, Afrikanen en Aziaten hebben geen ene fuck met de NSA te maken.
Dat DD-WRT image dat je binnen hengelt, zit daar een back door in?
Dat weet ik niet, maar het is open-source, dus in theorie kun je dat controleren ;)
Of bij een 100% Europees cloud-storage bedrijf, wat als daar een Amerikaanse mol werkt die alsnog je gegevens doorstuurt? (zie de soap rond de CD met Zwitserse bankgegevens)
Dat kan, maar dat zou een uitzondering zijn, niet een regel.
Als je werkelijk dingen geheim wilt houden zal je de boel zelf moeten encrypten met software die je zelf compiled hebt en waar je zelf de code hebt geaudit op backdoors.
Als je werkelijk zover wil gaan, ben je daar inderdaad vrij in, maar het gaat erom dat je het andere mensen gewoon heel moeilijk maakt. Niet dat je het ze onmogelijk maakt, want in bijna alle gevallen kost dat (zoals je zelf al schetst) buitenproportionele resources.
Ook dat is allemaal weer vertrouwen. Als je werkelijk zo bang bent dat de Amerikanen/de Mossad/Al Qaeda je data willen inzien, dan is het wat naief om te denken dat ze zich laten afschrikken door de EULA van een Nederlands hosting bedrijfje. Wat wil je dan gaan doen, de Amerikaanse regering gaan aanklagen onder Nederlands recht?

Mijn allerbelangrijkste reden voor encryptie is het voorkomen dat mijn data in handen komt van criminelen die mijn bankrekening willen leeghalen. De Amerikaanse geheime dienst staat nogal laag op mijn prioriteitslijstje.
Gaaf, net even ingesteld, werkt zonder problemen. Je kan een QR code scannen (https://dl.dropbox.com/u/1656836/2fa/scan-barcode.png) of ervoor kiezen om de code handmatig in te voeren. Dit scannen van de QR code wilde niet (ik gebruikte Google Authenticator) ondanks dat deze wel de functie ondersteund. Ik heb de code dus handmatig ingevoerd.

Ik moest overigens wel eerst uitloggen en opnieuw inloggen voordat om de code gevraagd werd. Het lijkt er dus niet op dat je oude apparaten vanzelf om authenticatie vragen. Misschien wel handig, als je Dropbox veilig wilt gebruiken, om deze handmatig eruit te schoppen en opnieuw toe te voegen via de security tab in je account pagina: https://www.dropbox.com/account#security

Trouwens mooi dat steeds meer diensten authenticators gaan ondersteunen! Voelt toch een stuk veilger - al is het natuurlijk nog steeds niet 100% safety.
Je weet dat die QR een persoonlijke code bevat? Als een Tweaker nu je account+wachtwoord heeft, kan hij een code genereren en heb je niets aan 2-step verificatie ;)
Dit is een "voorbeeld" QR code, niet de QR code die ik op mijn scherm kreeg. ;)
Dit snap ik niet, als de pre shared secret gewoon op een publieke url staat dan voegt dit toch geen enkele extra veiligheid toe? Of misschien snap ik niet voldoende van het two-step-authentication process.
Zie mijn reactie hierboven, de QR code is niet van mijzelf, maar wordt als voorbeeld code getoond. :>
Ik heb het net geprobeerd en het werkt best goed! Zeer mooi dat ik ook voor dropbox two step authentication kan gebruiken :). Gebruikte het ookal voor google diensten. Zeer netjes. Wel jammer dat er eerst iets moest gebeuren voordat ze dit hebben geimplementeerd.
Zoals bij mijn gmail, heel secure, ben er erg tevreden van al is het een beetje omslachtig(er) ...
Erg fijn dat dit gewoon via de gmail app werkt, moet er niet aan denken dat je straks tig app krijgt om overal goed in te kunnen loggen.
Dit ken ik wel van facebook. Heb daar de veiligheid verhoogt door gebruik te maken van Code Generator.

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True