Nieuwste Dropbox-bèta ondersteunt two-step-authentication

Dropbox heeft een bètaversie van zijn client online gezet die ondersteuning biedt voor two-step-authentication. Als dit is inschakeld moeten gebruikers een per sms gestuurde of via een app gegenereerde code invoeren bij het inloggen.

Dropbox logo (60 pix)Als two-step-authentication is ingeschakeld moet een gebruiker die vanaf een nieuwe locatie of nieuw apparaat inlogt op Dropbox naast zijn gebruikersnaam en wachtwoord ook een verificatiecode invullen. De verificatiecodes kunnen via sms verstuurd worden, maar gebruikers kunnen ook een app inzetten om de codes te genereren. Elke app die werkt met het Time-based One-Time Password-protocol, kan ingezet worden. Android-, iOS- en BlackBerry-gebruikers kunnen daarvoor bijvoorbeeld Googles Authenticator-app gebruiken.

De bètaversie wordt op het forum van Dropbox aan gebruikers aangeboden en is beschikbaar voor Windows, Mac OS X en Linux. Dropbox legt op een pagina in zijn Help Center uit hoe de optie geconfigureerd moet worden. Na installatie van de nieuwe bèta moeten gebruikers via de website van Dropbox aangeven dat ze two-step-authentication willen gebruiken. Bij het inschakelen wordt ook een backup code gegenereerd waarmee gebruikers toegang kunnen krijgen tot hun account als ze om welke reden dan ook geen vertificatiecode kunnen ontvangen of genereren.

Dropbox kondigde de ondersteuning voor two-step-authentication eind juli aan, nadat bekend was geworden dat op accounts van verschillende gebruikers was ingelogd met gegevens die bij een hack op een andere website vergaard waren. Een van die accounts behoorde toe aan een Dropbox-medewerker die in zijn Dropbox een bestand had staan met daarin e-mailadressen van een onbekend aantal gebruikers. Het bedrijf vermoedt dat deze lijst gebruikt is om spammails te versturen.

Door Wout Funnekotter

Hoofdredacteur

Feedback • 27-08-2012 11:25 42

27-08-2012 • 11:25

42

Lees meer

Dropbox: uitgelekte gebruikersgegevens zijn oud en niet afkomstig van hack
Dropbox: uitgelekte gebruikersgegevens zijn oud en niet afkomstig van hack Nieuws van 14 oktober 2014
Two-step-authentication van Twitter werkt nog niet in Nederland
Two-step-authentication van Twitter werkt nog niet in Nederland Nieuws van 23 mei 2013
Microsoft voegt two-step-authentication toe aan diensten
Microsoft voegt two-step-authentication toe aan diensten Nieuws van 17 april 2013
'Microsoft-accounts krijgen tweestaps-authenticatie'
'Microsoft-accounts krijgen tweestaps-authenticatie' Nieuws van 9 april 2013
Dropbox neemt foto-opslagdienst Snapjoy over
Dropbox neemt foto-opslagdienst Snapjoy over Nieuws van 20 december 2012
'Dropbox is relatief traag door grote fysieke afstand Amazon-servers'
'Dropbox is relatief traag door grote fysieke afstand Amazon-servers' Nieuws van 15 november 2012
Dropbox treft maatregelen na diefstal mailadressen - update
Dropbox treft maatregelen na diefstal mailadressen - update Nieuws van 1 augustus 2012
Dropbox: geen aanwijzingen voor hack na spamronde
Dropbox: geen aanwijzingen voor hack na spamronde Nieuws van 21 juli 2012
Dropbox onderzoekt mogelijk lek na spam aan gebruikers
Dropbox onderzoekt mogelijk lek na spam aan gebruikers Nieuws van 18 juli 2012
Dropbox stopt met public folders voor nieuwe accounts
Dropbox stopt met public folders voor nieuwe accounts Nieuws van 17 juni 2012
Meer producten en artikelen
Websites en community's Internet Cloud computing

Reacties (42)

-Moderatie-faq
42
41
34
4
0
0
Wijzig sortering
Team-RiNo 27 augustus 2012 11:38
Dit wel een goede ontwikkeling alleen wat ik nog erg slecht vind van dropbox is dat de bestanden lokaal onbeveiligd opgeslagen worden. Een ieder met toegang tot je computer kan daar gewoon bijkomen.
Dreamvoid
@Team-RiNo27 augustus 2012 11:48
Da's het probleem met elke sync service - een applicatie heeft nou eenmaal geen invloed op de rechten die je aan lokale storage toekent. Met Bitlocker of File Vault kan je lokaal wel alles encrypten.

[Reactie gewijzigd door Dreamvoid op 23 juli 2024 06:44]

Verwijderd @Dreamvoid27 augustus 2012 12:55
Dat klopt niet helemaal. Google Drive encrypt standaard WEL alle files op Android filesystemen. In tegenstelling tot Dropbox waar je met een filebrowsertje zo even de op SDcard opgeslagen file'tjes kunt openen. Dat is 1 vd de redenen waarom ik ben overgestapt naar Drive.
Op Windows worden de bestanden niet encrypted opgeslagen; is dus een risico als je je laptop verliest (of je desktop wordt bij inbraak gestolen). Wanneer je de Professional versie hebt kun je eenvoudig een folder encrypten, echter werkt dat niet lekker samen met Dropbox is mijn ervaring. Daar stonden naar verloop van tijd gewoon ongecodeerde bestanden tussen, terwijl de bovenliggende folder encrypted was... Kennelijk werkt DB niet goed samen met EFS. Ik weet eigenlijk niet of dit wel lekker werkt met Google Drive; zal nog eens proberen...
En op Linux kun je eenvoudig je home folder encrypten bij installatie.
hiostu @Verwijderd27 augustus 2012 13:06
Gewoon bitlocker aanzetten op je windows systeem. Dan is alles op je systeem encrypted en applicaties merken er niets van.
Verwijderd @hiostu27 augustus 2012 14:20
Dit hebben alleen de Ultimate en Enterprise versies. Welke (betalende) consumenten hebben dat?
Dreamvoid
@Verwijderd27 augustus 2012 15:37
In dat geval koop je gewoon een willekeurige HDD/SSD met drive-level encryption.
Of je gaat aan de slag met hackintosh, of Linux, etc.

[Reactie gewijzigd door Dreamvoid op 23 juli 2024 06:44]

YopY @Team-RiNo27 augustus 2012 11:54
Op PC's die je niet vertrouwt kun je natuurlijk Dropbox gewoon niet installeren, en de webclient gebruiken om bij je bestanden te komen. Verder: encryptie inschakelen, je account altijd locken als je bij de PC wegloopt, of misschien dropbox bestanden op een USB stick zetten ipv je harde schijf.
quaintpaul 27 augustus 2012 11:31
Erg goede toevoeging, menigeen gebruikt Dropbox ook voor gevoelige documenten.. Neemt echter toch een andere onzekerheid niet weg; de Dropbox leaks in het verleden hadden niet per sé te maken met unauthorized account access, maar met de infrastuctuur van het systeem. Hiermee vangt Dropbox dus een minder veilige factor af, maar de zwakste schakel blijft in mijn ogen de infrastructuur zelf..
Dreamvoid
@quaintpaul27 augustus 2012 11:50
Tsja, dat blijf je houden - remote storage is altijd een kwestie van vertrouwen op de sysadmin skills van anderen. Lokale storage is het vertrouwen op de sysadmin skills van jezelf.

Maar inmiddels hebben alle grote cloud storage spelers nu dus 2-factor authentication: Skydrive, Google Drive, Dropbox, Amazon S3, etc etc.
Henrikop @Dreamvoid27 augustus 2012 13:06
Skydrive heeft niet echt 2-factor authentication! Je kunt er voor kiezen om in te loggen met een SMS in plaats van een wachtwoord, maar als ik je username en wachtwoord heb kan ik echt bij je SkyDrive informatie. Zover ik weet is het dus geen echte bescherming. Het geeft je alleen de mogelijkheid als je werkt op een computer die je niet vertrouwt om in te loggen zonder je wachtwoord in te typen.

Microsoft is hierin echt een laggard. Zo heb je Live-ID ook nodig voor Microsoft Azure, ofwel servers/data/databases in te cloud. Er is op dit moment geen goede beveiliging mogelijk tenzij je Shell (of ander zeer groot bedrijf) heet.

Als ik er naast zit, hoor ik het graag! (met bronvermelding)
Dreamvoid
@Henrikop27 augustus 2012 16:19
Ah yep die 2-factor authenticatie is alleen te forceren bij SkyDrive Fetch en de billing/Xbox functies, de rest is optioneel.
swtimmer @Dreamvoid27 augustus 2012 13:30
Als je daarvoor bang bent moet je Wuala (http://www.wuala.com/) gebruiken. Die encrypt alles op jouw pc voordat het richting de remote servers gaat waardoor zelfs bij diefstal van de fysieke disks niemand bij jouw data kan.

Je vraagt je af waarom dropbox niet hetzelfde hanteert. Wat ik nu vaak zie is dat mensen binnen dropbox een TrueCrypt container aanmaken en daarin hun bestanden opslaan.
mobrockers @swtimmer27 augustus 2012 13:45
wuala zet jouw bestanden bij andere wuala gebruikers op de pc, dat is lekker veilig.
Alpha89 27 augustus 2012 11:41
Handig!! Gebruikte bij Google Apps al de Google Authenticator app. Kan die dus ook mooi gebruiken voor dropbox! Werkt super goed dusver. :) Goed bezig die jongens van Dropbox!
smeerbartje @Alpha8927 augustus 2012 11:46
Huh? Denk je dat je de Google Authenticator app kunt gebruiken om voor Dropbox een code aan te maken? Gaat toch niet werken???
eamelink @smeerbartje27 augustus 2012 11:47
A valid code can also be obtained by using an application that supports the Time-Based One-Time Password protocol, such as Google Authenticator, Amazon AWS MFA or Authenticator, according to Dropbox. Apple users can opt to generate a code from the terminal application using the OATH tool, Dropbox said.
Gestandaardiseerd protocol dus :)
smeerbartje @eamelink27 augustus 2012 20:12
Thanks man.... en super relaxt! Gewoon één app op je phone waar je al je "extra" sign-ons mee regelt.
AjDuLion @smeerbartje27 augustus 2012 11:48
denkt ie niet het is ook zo werkt prima ;)
_Piwi_ 27 augustus 2012 11:31
Mooie ontwikkeling. Het was al in Juli aangekondigd en heeft in mijn ogen wel nog lang op zich laten wachten.
Ik zie er alleen het voordeel op dit moment niet van in? Gezien, zo lang ze de oude clients niet blokkeren je nog altijd met gehackte gegevens in een dropbox account kan inloggen. Ook de website maakt hier nog geen gebruik van.
(Ja ik weet dat het nog een beta is ;))
_gibeon_ @_Piwi_27 augustus 2012 13:15
Als je nu de stable client (1.4.7) download, moet je ook al two-factor inloggen. De ondersteuning is er dus niet alleen in de bèta client.
En de website maakt er ook al gebruik van. :)
Ge Someone @_gibeon_28 augustus 2012 06:56
Neem dan voor de zekerheid meteen de laatste 1.4.12
Pizzalucht @_Piwi_27 augustus 2012 11:38
Het lijkt me dat de oude client gewoon niet meer kan inloggen als je two step authentication hebt ingeschakeld.
_Thanatos_ 27 augustus 2012 17:15
Maar gewoon inloggen met een certificaat, wat dus zo goed als automatisch kan, dat is er niet bij, terwijl dat veiliger, handiger, en sneller is?

Daarbij zegt het geen drol over de veiligheid van je gegevens. Je kunt nog steeds niet controleren of medewerkers van Dropbox jouw gegevens kunnen inzien. Ja dan kun je wel weer kaan encrypten, maar daarmee maak je het jezelf verschrikkelijk moeilijk, wat het hele idee weer onderuit haalt.

Ik weet zelfs wel zeker dat medewerkers (althans in theorie) jouw gegevens kunnen inzien, omdat de Amerikaanse overheid dat ook wil kunnen (ook/juist van non-US citizens). Dropbox is immers een San Fransisco based bedrijf.

Anyway, ook Dropbox heeft nu een smoes om van iedereen het telefoonnummer te mogen ontfutselen :/

[Reactie gewijzigd door _Thanatos_ op 23 juli 2024 06:44]

Dreamvoid
@_Thanatos_27 augustus 2012 18:02
Dat probleem heb je met elk extern hosting bedrijf, en zelf als je thuis je data host. Hoe weet jij dat die evil overheid niet ook gewoon remote kan inloggen op de NAS die je koopt, je Mac, je router? Heeft de NSA geen master key voor File Vault of Bitlocker? Dat DD-WRT image dat je binnen hengelt, zit daar een back door in?

Of bij een 100% Europees cloud-storage bedrijf, wat als daar een Amerikaanse mol werkt die alsnog je gegevens doorstuurt? (zie de soap rond de CD met Zwitserse bankgegevens)

Als je werkelijk dingen geheim wilt houden zal je de boel zelf moeten encrypten met software die je zelf compiled hebt en waar je zelf de code hebt geaudit op backdoors.

[Reactie gewijzigd door Dreamvoid op 23 juli 2024 06:44]

_Thanatos_ @Dreamvoid27 augustus 2012 19:47
Dat probleem heb je met elk extern hosting bedrijf
Niet als ze in de EULA garanderen dat hun "eigen personeel en apparatuur jouw gegevens niet kunnen inzien, omdat dat technisch onmogelijk is". Iets in die richting. Zeker als je te maken hebt met een Nederlandse aanbieder, hebben ze zich daaraan te houden.
en zelf als je thuis je data host
Nee, dan juist niet.
Hoe weet jij dat die evil overheid niet ook gewoon remote kan inloggen op de NAS die je koopt, je Mac, je router?
Omdat ik een firewall heb die dat soort praktijken blokkeert. Als ik erachter kom dat de politie of wie dan ook bovenwettelijk aan mijn spullen komt, hebben ze een aanklacht aan hun broek.
Heeft de NSA geen master key voor File Vault of Bitlocker?
Als dat zo was, had Microsoft allang een heule dikke boete van de EU gekregen, want wij Europeanen, Afrikanen en Aziaten hebben geen ene fuck met de NSA te maken.
Dat DD-WRT image dat je binnen hengelt, zit daar een back door in?
Dat weet ik niet, maar het is open-source, dus in theorie kun je dat controleren ;)
Of bij een 100% Europees cloud-storage bedrijf, wat als daar een Amerikaanse mol werkt die alsnog je gegevens doorstuurt? (zie de soap rond de CD met Zwitserse bankgegevens)
Dat kan, maar dat zou een uitzondering zijn, niet een regel.
Als je werkelijk dingen geheim wilt houden zal je de boel zelf moeten encrypten met software die je zelf compiled hebt en waar je zelf de code hebt geaudit op backdoors.
Als je werkelijk zover wil gaan, ben je daar inderdaad vrij in, maar het gaat erom dat je het andere mensen gewoon heel moeilijk maakt. Niet dat je het ze onmogelijk maakt, want in bijna alle gevallen kost dat (zoals je zelf al schetst) buitenproportionele resources.
Dreamvoid
@_Thanatos_27 augustus 2012 21:59
Ook dat is allemaal weer vertrouwen. Als je werkelijk zo bang bent dat de Amerikanen/de Mossad/Al Qaeda je data willen inzien, dan is het wat naief om te denken dat ze zich laten afschrikken door de EULA van een Nederlands hosting bedrijfje. Wat wil je dan gaan doen, de Amerikaanse regering gaan aanklagen onder Nederlands recht?

Mijn allerbelangrijkste reden voor encryptie is het voorkomen dat mijn data in handen komt van criminelen die mijn bankrekening willen leeghalen. De Amerikaanse geheime dienst staat nogal laag op mijn prioriteitslijstje.
Mmore 27 augustus 2012 11:47
Gaaf, net even ingesteld, werkt zonder problemen. Je kan een QR code scannen (https://dl.dropbox.com/u/1656836/2fa/scan-barcode.png) of ervoor kiezen om de code handmatig in te voeren. Dit scannen van de QR code wilde niet (ik gebruikte Google Authenticator) ondanks dat deze wel de functie ondersteund. Ik heb de code dus handmatig ingevoerd.

Ik moest overigens wel eerst uitloggen en opnieuw inloggen voordat om de code gevraagd werd. Het lijkt er dus niet op dat je oude apparaten vanzelf om authenticatie vragen. Misschien wel handig, als je Dropbox veilig wilt gebruiken, om deze handmatig eruit te schoppen en opnieuw toe te voegen via de security tab in je account pagina: https://www.dropbox.com/account#security

Trouwens mooi dat steeds meer diensten authenticators gaan ondersteunen! Voelt toch een stuk veilger - al is het natuurlijk nog steeds niet 100% safety.
H92! @Mmore27 augustus 2012 12:44
Je weet dat die QR een persoonlijke code bevat? Als een Tweaker nu je account+wachtwoord heeft, kan hij een code genereren en heb je niets aan 2-step verificatie ;)
Mmore @H92!27 augustus 2012 21:54
Dit is een "voorbeeld" QR code, niet de QR code die ik op mijn scherm kreeg. ;)
Verwijderd @Mmore27 augustus 2012 15:50
Dit snap ik niet, als de pre shared secret gewoon op een publieke url staat dan voegt dit toch geen enkele extra veiligheid toe? Of misschien snap ik niet voldoende van het two-step-authentication process.
Mmore @Verwijderd27 augustus 2012 21:55
Zie mijn reactie hierboven, de QR code is niet van mijzelf, maar wordt als voorbeeld code getoond. :>
Rutix 27 augustus 2012 11:30
Ik heb het net geprobeerd en het werkt best goed! Zeer mooi dat ik ook voor dropbox two step authentication kan gebruiken :). Gebruikte het ookal voor google diensten. Zeer netjes. Wel jammer dat er eerst iets moest gebeuren voordat ze dit hebben geimplementeerd.
Verwijderd 27 augustus 2012 11:30
Zoals bij mijn gmail, heel secure, ben er erg tevreden van al is het een beetje omslachtig(er) ...
blade08 27 augustus 2012 11:34
Erg fijn dat dit gewoon via de gmail app werkt, moet er niet aan denken dat je straks tig app krijgt om overal goed in te kunnen loggen.
ronaldinho 27 augustus 2012 17:10
Dit ken ik wel van facebook. Heb daar de veiligheid verhoogt door gebruik te maken van Code Generator.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq