Debido a la reciente pérdida de credenciales de Dropbox, me pregunto si mi segundo factor de autenticación será suficiente para estar seguro. He revisado mi correo en enlace y parece estar comprometido.
Estoy usando Google Authenticator como una utilidad de autenticación de dos factores, ¿esta configuración es suficiente?
Lo que es suficiente para una persona puede no serlo para otra persona (hay personas que no tienen problemas para ver su computadora infectada por varias puertas traseras y malware, siempre que tengan acceso a Internet es suficiente para ellos ...) , así que el núcleo de tu pregunta puede estar realmente basado en la opinión. Intentaré atenerme a los hechos, dependerá de usted decidir si esto es suficiente para usted.
AFAIK, el hack de DropBox en sí no es nuevo, es solo una confirmación sobre los datos reales filtrados durante un hack que ocurrió en 2012. Ahora se confirma que la base de datos de usuarios ha sido robada, pero las contraseñas estaban (en su mayoría) protegidas utilizando las medidas de protección correctas utilizando hashes criptográficos no reversibles.
Esto significa que la base de datos robada no contenía su contraseña literalmente, sino solo algún tipo de suma de comprobación derivada de la contraseña y que le permite autenticarlo. Lo que los atacantes harán es tratar de adivinar tantas contraseñas como puedan en esta lista al verificar las palabras comunes, la alteración y las combinaciones de caracteres.
Si su contraseña era realmente segura, es posible que sigue sin conocerse a pesar de la filtración.
Si se encuentra la contraseña, entonces:
Asociados a su dirección de correo y posiblemente a otra información, los atacantes intentarán reutilizarla para obtener acceso no solo a DropBox, sino también a otras cuentas que pueda tener en otro lugar. Para el atacante, tales cuentas pueden ser de valor ya sea directamente (ejemplo trivial: ordenar algunos bienes a su propio costo) o indirectamente (por ejemplo, haciéndose pasar por usted solicitando ayuda monetaria para sus relaciones).
La contraseña se agregará en la parte inferior de su lista de contraseñas conocidas para probar nuevas fugas o para alimentar a los robots que rastrean la web e intentan acceder a algunas cuentas aleatorias.
Entonces, para resumir:
En lo que respecta a su acceso a DropBox (o cualquier otro servicio que pueda usar que ofrezca una autenticación de 2 factores similar), en el peor de los casos, su seguridad ahora solo residirá en la seguridad del Autenticador de Google, pero puede encuentra "suficiente",
Con respecto a su contraseña, dos escenarios:
O bien no era realmente complejo (más fácil de recordar y escribir rápidamente) o contenía menos de 8 caracteres: considérelo atornillado, los atacantes sí lo saben. Si hay otros servicios que aceptan su correo electrónico como inicio de sesión y esta contraseña para la autenticación y abre la posibilidad de algún beneficio directo o indirecto para el atacante, considere que es solo una cuestión de tiempo antes de que algunos atacantes tengan acceso a estos servicios.
O bien era complejo, entonces es simplemente una cuestión de suerte. Si considera que esto es suficiente o no, depende completamente de usted y de su caso de uso.
No. No es suficiente. Necesitas confiar en el servicio para manejar el segundo factor correcto. Así que necesitas confiar en Dropbox.
El autenticador de google probablemente calcula el valor OTP basado en TOTP ( RFC6238 ) (de hecho, puede hacer HOTP y TOTP ). Es decir. Si registró un TOTP de Google Authenticator con Dropbox, Dropbox debe guardar la clave secreta simétrica. Si son estúpidos, lo guardarán en la misma tabla de base de datos como la contraseña hash. Si el atacante recupera la fila de su usuario de esta tabla, el atacante tiene
a) la contraseña con hash y puede iniciar un ataque como @WhiteWinterWolf señalado y
b) puede usar la clave secreta TOTP (si no estaba encriptada) para calcular inmediatamente los valores TOTP. (consulte también enlace )
Por lo tanto, usar un segundo factor que haya registrado en un servicio no significa inmediatamente que está más seguro.
Tu cuenta de Dropbox estará a salvo mientras sigas usando 2FA.
Sin embargo, como dijo en sus comentarios, es posible que esté utilizando la misma contraseña en otros servicios, por lo que si 2FA no protege esos servicios, son vulnerables.
En otras palabras, quien tenga acceso a la fuga conoce su correo electrónico y su contraseña. Es probable que se realice algún script para probar si esas credenciales funcionan en otros servicios comunes, por lo que en algún momento alguien descubrirá que reutilizó su contraseña para otro servicio y tendrá acceso a su cuenta en ese servicio.
Lea otras preguntas en las etiquetas multi-factor