Die Daten aus einem Sicherheitsbruch im Jahre 2012 sind offenbar echt. Dropbox waren damals 68 Millionen Datensätze abhanden gekommen. Man sollte sein Passwort ändern.
Dropbox hatte die Passworte zum Glück nur als Hashes gespeichert. Etwa die Hälfte der Passworte sind nur relativ einfach mit dem Algorithmus SHA-1 Hash mit Salt gesichert gewesen.
Es besteht also die Chance, das Hacker diese Passworte haben knacken können. Davon sind nicht nur einfache Passworte betroffen, sondern auch recht komplexe. Ein längeres Passwort verwendet zu haben, nutzt also nichts.
Die andere Hälfte wurde mit dem besseren Verfahren bcrypt verschlüsselt, das ein Knacken der Passworte recht unwahrscheinlich macht. Der Zeitaufwand bei recht guten Passwörtern ist einfach zu groß.
Dropbox hat vor Kurzem alle Nutzer, die ihr Passwort seit 2012 nicht geändert haben per Mail angeschrieben und zu einem Wechsel des Passwortes aufgefordert. Allerdings werden wohl die Meisten die Mails nicht beachtet haben oder sie sind schlicht im Spam-Filter hängen geblieben.
Man kann auf der Webseite Have I been pawned nachprüfen, ob man betroffen ist. Durch Eingabe der Email oder des Nutzer-Namens erfährt man, ob der eigene Eintrag in der Datenbank auftaucht. Allerdings nicht mit welchen Verfahren er verschlüsselt wurde.
Ein Wechsel das Passwortes kann aber generell nicht schaden. Der Aufwand ist gering und man geht auf Nummer sicher. Schließlich ist es nicht besonders attraktiv, Hackern die eigenen Daten in der Dropbox in die Hände zu spielen.
Quelle: Heise
Pingback: Dropbox Passwort besser ändern – Technikberater Blog