Datenpanne bei Dropbox

Die Internetkriminalität hat nun auch mich getroffen. Kriminellen Hackern ist es gelungen, E-Mail Adressen und Passwörter von Dropbox zu stehlen. Darunter auch die Zugangsdaten von mir.

Dropbox weiss davon. Letzten Samstag erhielt ich folgende E-Mail.

E-Mail von Dropbox

Heute nun habe ich eine weitere E-Mail erhalten. Sie stammt von der Website have i been pwnd.com, die vom Microsoft MVP Troy Hunt betrieben wird. Troy Hunt versucht jeweils, an die entsprechenden Daten zu gelangen, die von den Hackern veröffentlicht werden. Danach informiert er die betroffenen Benutzer, sofern man sich auf der Website zuvor registriert hat.

E-Mail von haveibeenpwnd.com

Ist mir aber egal

Warum sollte mir das egal sein? Mit meiner E-Mail Adresse sowie meinem Passwort könnten nun alle möglichen Leute mit allen möglichen Absichten auf meine Dropbox-Daten zugreifen.

Selbstverständlich habe ich mich kurz auf Dropbox eingeloggt und mein Kennwort geändert. Aber notwendig wäre das nicht gewesen. Weil ich mich bei meinen Kennwörtern an ein paar einfache Regeln halte:

  1. Ich verwende Kennwörter kein zweites Mal. Mein Passwort bei Dropbox ist also einmalig und Kriminelle können sich damit nicht auf anderen Diensten anmelden.
  2. Ich habe Zwei-Faktor-Authentifizierung aktiviert. Um sich auf meinem Konto anmelden zu können, benötigt man also zusätzlich zum Kennwort noch den sechsstelligen Code, der auf meinem Smartphone generiert wird.
  3. Ich verwende lange, zufällig generierte Kennwörter. Das bringt zwar nicht immer etwas, aber in diesem Fall waren die Kennwörter mit einem Salt gehashed. Dropbox nutzte sowohl SHA1 als auch BCrypt. Für beide Algorithmen gibt es fertige Listen mit bereits berechneten Hashes, die es einfacher machen, das Kennwort zu erraten. Solche Listen sind aber meistens beschränkt. Je länger das Kennwort ist, desto unwahrscheinlicher ist es, in einer solchen Liste aufzutauchen. Siehe Wikipedia.