在线存储和文件共享站点Dropbox推出了两步式安全认证,以应对影响Dropbox用户和其他基于云的公司的重大安全漏洞。该公司通过其社区技术论坛之一宣布了这一消息。贝宝(PayPal)等网站提供的两步验证通过要求附加安全码(通过短信将其发送到用户电话或使用移动身份验证器应用程序生成)而为在线帐户增加了一层额外的保护。这篇文章说:“我们希望给我们忠实的论坛观众一个尝试的机会。”
启用后,当用户登录到Dropbox或链接新的计算机,手机或平板电脑时,Dropbox除了要求用户提供密码外,还需要六位数的安全代码。Dropbox为用户提供了使用第三方身份验证器应用程序的选项,并支持Google Android,Apple iOS,BlackBerry和Microsoft Windows Phone设备上的应用程序。出于安全原因,然后将要求用户重新输入密码,以确认启用两步验证的决定。完成此操作后,将为用户提供选择,以通过短信接收安全代码或使用上述移动应用程序。
如果用户选择通过短信接收安全密码,则每当他们成功使用密码登录到Dropbox时,包含安全密码的短信就会发送到手机。对于移动应用程序,任何支持基于时间的一次性密码(TOTP)协议的应用程序都可以使用,包括Google Authenticator(适用于Android设备,iPhone和BlackBerry智能手机),Amazon Web Services(AWS)多重身份验证(MFA) (适用于Android)和Authenticator(Windows Phone 7)。在启用两步验证之前,用户会收到一个特殊的16位备用码。
该公司要求试用用户在访问特定的URL链接以试用该功能之前,确保已安装最新的论坛版本(1.5.12)。然后,该链接会将用户发送到该帐户的安全性标签,在页面底部附近的“帐户登录”部分中,用户将找到两步验证选项。用户可以通过单击“(更改)”链接来开始设置过程。帖子要求:“如果您在启用两步验证后取消链接并重新链接您的帐户,并在此主题中报告您的经历,我们将不胜感激。”
该公司在今年夏天初对安全事件进行的调查显示,从其他网站窃取的用户名和密码用于登录多个Dropbox帐户,其中包括属于Dropbox员工的一个帐户,该帐户包含带有用户电子邮件地址的“项目文档”。据该公司称,该文件被认为已用于发起垃圾邮件运动。违规后,位于荷兰,德国和英国的Dropbox用户开始在Dropbox用户论坛上报告他们正在网站接收垃圾邮件。随后的投诉使人们怀疑Dropbox已被黑客入侵。