Und plötzlich trudelt eine Mail ein, in der mir mitgeteilt wird, dass mein Dropbox-Passwort zurückgesetzt wurde.
From: Dropbox no-reply@dropboxmail.com
To: Thomas
Subject: Please create a new Dropbox password
Hi Thomas,
Recently, passwords have been stolen from some Internet services. This is a problem because many people use the same password on multiple services, which is unsafe.
As a precaution, we’ve reset your password and you can create a new one here.
We haven’t detected any suspicious activity in your Dropbox, but we’re proactively taking steps to keep users safe.
We know it’s easy to use a single password across different websites, but this means if any one site is compromised, all your accounts are at risk. If you’ve ever used the same password for more than one website, you should create new unique passwords for each of them. Tools like 1Password do this for you and can help make your accounts safer.
Best,
- The Dropbox Team
Natürlich war ich erst mal extrem skeptisch. Mails, in denen es um Passwörter geht, riechen vorrangig ziemlich nach Phishing. Also habe ich natürlich nicht sofort den Link angeklickt, sondern ein bisschen recherchiert.
Alle Links in der Mail verweisen auf die echte Dropbox-Domain. Selbst die auf den ersten Blick verdächtige Domain dropboxmail.com aus dem Absender gehört zu Dropbox.
Außerdem spricht der verlinkte Blogartikel die Themen Sicherheit und Passwörter an. Und zu guter Letzt konnte ich mich mit meinem “alten” Passwort nicht mehr bei Dropbox einloggen, was mich sehr sicher machte, dass die Mail echt ist.
Ok, Passwort geändert. Fertig.
Was von dieser Geschichte jetzt übrig bleibt, ist ein ungutes Gefühl. Ich will nicht erst nachforschen müssen, ob eine echte Mail echt ist. Wäre z.B. im Blogpost etwas davon gestanden, dass einige User Mails bekommen, wäre das schon besser gewesen. (Ok, aus einem Satz könnte man das evtl. rauslesen. Aber ein eindeutiger Hinweis hätte gut getan.) – Aber gut, man kann die Aktion auch positiv sehen. Lieber einmal die User vorsorglich zum neuen Passwort zwingen, als zu lange warten und dann gehackte Accounts haben.
Dann bleiben noch die Berichte im Netz über den Vorfall, wie z.B. bei heise oder bei cnet. Da nicht alle User die Mail bekommen haben vermute ich, dass nur diese angeschrieben wurden, deren Adressen in der bei Heise erwähnten geklauten Liste waren. Aber man weiß es nicht.
Gut gefallen mir allerdings die angekündigten Security-Features bei Dropbox, wie die “Two-Factor Authentication” und die neue Übersicht über Verbindungen zum eigenen Dropbox-Account.
Als Zusammenfassung kann man glaub ich sagen:
Ist nochmal alles gut gegangen, und
jedem Account sein eigenes Passwort.
Schreibe einen Kommentar