Anche in Dropbox two-step verification

Anche in Dropbox two-step verification

Anche Dropbox rende attiva la funzionalità di two-step verification per aumentare la sicurezza degli account

di pubblicata il , alle 10:40 nel canale Web
 

L'utilizzo di soluzioni cloud per lo storage di dati personali è sempre più diffuso, anche se l'aspetto della sicurezza e la possibile violazione degli account possono destare qualche preoccupazione negli utenti. Molto dipende anche dal tipo di dato memorizzato in cloud: immagini, documenti e altro sono di sicuro elementi sensibili e di valore, ma la memorizzazione di password o di altra tipologia di dato di accesso è ben più delicata.

Dropbox nelle ultime ore ha introdotto una nuova possibilità di autenticazione utilizzando l'ormai diffusa soluzione della two-step verification: oltre alla semplice password viene inviato all'utente un ulteriore codice attraverso un sms su un numero di telefono prestabilito. In questo modo si ha la certezza che chi sta effettuando il login oltre a conoscere la password di accesso è anche in possesso del terminale su cui il sistema ha inviato il codice.

La medesima soluzione viene da tempo utilizzata anche da Google che permette di gestire l'invio del codice anche attraverso una app dedicata. Fino a qualche tempo fa le varie soluzioni di cloud storage si sono fronteggiate sulla dimensione dello spazio messo a disposizione per ogni account, ora forse il confronto si potrebbe spostare anche su altri elementi altrettanto importanti e strategici.

Per utilizzare la nuova opzione di Dropbox è necessario installare una versione beta dell'utility e abilitare l'opzione. A questo indirizzo sono disponibili i dettagli.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

17 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
LORENZ027 Agosto 2012, 11:15 #1
"La medesima soluzione viene da tempo utilizzata anche da Google che permette di gestire l'invio del codice anche attraverso una app dedicata."

...quale sarebbe questa app dedicata che non la trovo? link? grazie!
]Rik`[27 Agosto 2012, 11:29 #2
Originariamente inviato da: LORENZ0
"La medesima soluzione viene da tempo utilizzata anche da Google che permette di gestire l'invio del codice anche attraverso una app dedicata."

...quale sarebbe questa app dedicata che non la trovo? link? grazie!


se hai android:

https://play.google.com/store/apps/....authenticator2
Perseverance27 Agosto 2012, 11:51 #3
Mi sembra una misura drastica e poco intelligiente, è un sistema che si basa su un altro sistema, se viene meno l'uno viene meno anche l'altro. Già questo è indice di non sicurezza.

Poi gli SMS che ti inviano vengono mandati da un server automatizzato che avrà un account in qualche società che vende servizi di SMS. La società che offre il servizio deve essere convenzionata con l'operatore che hai te. Le convenzioni costano xò e un bel giorno potrebbero anche decidere di non gestire più quel tuo particolare operatore.

Inoltre gli sms possono essere letti anche dalla pagina personale del proprio gestore direttamente online e sappiamo tutti gli enormi buchi di sicurezza che ci sono in questi portali no ?

Vi ricordate come poche settimane fà è stato rubato l'account Twitter di Mat Honan (@mat) ? Nessun hacking, solo un giro di chiamate ed email
[B]Per chi non l'ha ancora letto > http://www.repubblica.it/tecnologia...mazon-40703261/[/B]
manuelmagic27 Agosto 2012, 11:52 #4
Ottima notizia, ho attivato subito il servizio in 1 minuto.
manuelmagic27 Agosto 2012, 11:58 #5
Originariamente inviato da: Perseverance
Mi sembra una misura drastica e poco intelligiente, è un sistema che si basa su un altro sistema, se viene meno l'uno viene meno anche l'altro. Già questo è indice di non sicurezza.


No, se viene scoperta la password serve comunque l'accesso ai messaggi e viceversa.

Originariamente inviato da: Perseverance
Poi gli SMS che ti inviano vengono mandati da un server automatizzato che avrà un account in qualche società che vende servizi di SMS. La società che offre il servizio deve essere convenzionata con l'operatore che hai te. Le convenzioni costano xò e un bel giorno potrebbero anche decidere di non gestire più quel tuo particolare operatore.

Inoltre gli sms possono essere letti anche dalla pagina personale del proprio gestore direttamente online e sappiamo tutti gli enormi buchi di sicurezza che ci sono in questi portali no ?


Nessun servizio è intrinsecamente sicuro. Averne 2 indipendenti aumenta di molto la sicurezza.

Originariamente inviato da: Perseverance
Vi ricordate come poche settimane fà è stato rubato l'account Twitter di Mat Honan (@mat) ? Nessun hacking, solo un giro di chiamate ed email
[B]Per chi non l'ha ancora letto > http://www.repubblica.it/tecnologia...mazon-40703261/[/B]


Si ma non centra nulla. Anzi, se avessi letto l'articolo originale di Mat scopriresti che non sarebbe successo questo disastro se avesse attivato la 2-step verification di Google (testuali parole).
robertogl27 Agosto 2012, 13:27 #6
ma come funziona? Ho seguito la procedura, installato google authenticator, messo il codice nella pagina di dropbox, ora la funzionalità risulta attivata ma accendo a dropbox esattamente come prima..
o visto che l'app Android esegue automaticamente l'accesso non devo fare nulla?
:: Marco ::27 Agosto 2012, 14:32 #7
Originariamente inviato da: manuelmagic
se avessi letto l'articolo originale di Mat scopriresti che non sarebbe successo questo disastro se avesse attivato la 2-step verification di Google (testuali parole).


io la uso da tempo e la consiglio a tutti. c'è la app anche per blackberry e in alternativa l'invio (immediato) di un sms a un numero di backcup. quest'ultima modalità ovviamente può anche essere scelta come preferita.

la verifica dell'identità è un'ottima cosa, a mio avviso indispensabile per servizi così importanti e "sensibili".

Arthens28 Agosto 2012, 07:54 #8
Originariamente inviato da: Perseverance
Mi sembra una misura drastica e poco intelligiente, è un sistema che si basa su un altro sistema, se viene meno l'uno viene meno anche l'altro. Già questo è indice di non sicurezza.


I due sistemi sono complementari, non alternativi. Per accedere hai bisogno sia della password che del codice.

Ovviamente il sistema non e' perfetto (nessun sistema lo e'), ma il livello di sicurezza aumenta moltissimo. Oltre ad ottenere username e password diventa necessario ottenere il numero di telefono, e sucessivamente ottenere o il telefono in se o la password per leggere i messaggi online (per gli operatori che lo permettono) (nota, se abiliti la 2 factor authentication e usi la stessa password per entrambi i sistemi sei un pirla)

Senza considerare che se qualcuno entra con la tua password ti viene inviato un codice, che oltre a bloccare loro dall'usare l'account ti informa che qualcun altro sta usando la tua password, e che quindi devi cambiarla.

Originariamente inviato da: Perseverance
Vi ricordate come poche settimane fà è stato rubato l'account Twitter di Mat Honan (@mat) ? Nessun hacking, solo un giro di chiamate ed email
[B]Per chi non l'ha ancora letto > http://www.repubblica.it/tecnologia...mazon-40703261/[/B]


Se avesse abilitato la 2 step verification di gmail avrebbe salvato quanto meno l'account gmail (e twitter) e sarebbe stato informato (tramite un sms) che qualcuno appena appena provato ad utilizzare la sua password, il che gli avrebbe permesso di reagire velocemente all'attacco (quanto meno evitando la perdita di tutti i suoi dati sul mac)
Perseverance28 Agosto 2012, 09:25 #9
Non avete capito un tubo di quello che ho detto

Partiamo dal presupposto che [B][U]A ME[/U][/B] e lo sottolineo, non piace dare un numero di telefono in giro per il mondo xkè non sò a chi lo dò, non sò cosa ne fà colui che lo prende, non sò dove lo mette;

"vabbè che vuoi che ci faccia col cellulare, è per la tua sicurezza "
Intanto legato al cellulare c'è il mio nome-cognome-indirizzo-codicefisale-numerodicasa. Se finisce su suolo americano hanno la facoltà di guardarti anche di che marca è lo spazzolino del cesso senza che tu sappia nulla, potrebbe essere il cell di un terrorista che usa dropbox per progettare attentati.

Secondo: il mio cellulare và in spaurati database di società che rivendono servizi SMS sparse per il pianeta magari società che ri-hanno in affitto altre società per i paesini più piccoli. Perciò appena caccio il numero dentro il form di dropbox in un millesimo di secondo fà il giro del mondo e ne ho completamente perso le tracce.

Terzo: adesso il sistema di autenticazione dipende da 2 sistemi, se uno si rompe l'altro viene meno; se non posso ricevere messaggi per qualche motivo non posso accedere a dropbox. Se la società di servizi SMS decide che il mio operatore non lo vuol più gestire xkè gli costa troppo non posso accedere a dropbox. Va bene, succederà una volta forse no, ci saranno avvisi come no..ma intanto romperebbe le scatole. Ma il concetto è che il mio login dipende anche da qualcun'altro, di me mi posso fidare ma degli altri no.

Quarto: il sistema degli SMS può essere cmq implementato senza per forza obbligare a usarlo per la conferma del login. E' sufficiente mandare un SMS:

"Hey qualcuno ha effettuato l'accesso al tuo account dal seguente indirizzo IP xx.yy.zz.ww, sei stato tu?!
Se no rispondi al messaggio con 1234 per bloccare temporaneamente il tuo account!"


Dove mi hanno chiesto di progettare sistemi di controllo e autenticazione io ho sempre fatto così. Il login dipende SOLO e SOLTANTO dal server, l'utente viene solo informato e gli viene data la possibilità di agire tempestivamente.

E' concettualmente sbagliatissimo legare il login a 2 sistemi differenti che devono essere verificati entrambi. Se tutto funziona va bene, xò è quando le cose non funzionano che ci sono i malcontenti e le rogne.

Quinto:
Obbligare gli utenti a usare StR0Ng_Pa$$w()r|> minimo di 10 caratteri, con massimo 1 tentativo di accesso ogni 120 secondi basato sull'username e non sull'IP.

Sesto:
Implementare un servizio SMS costa! Costa anche a DropBox che alla fine costa agli utenti xkè aumentano i prezzi o aumentano la pubblicità. Forse sbaglio ma mi sembra di ricordare che dropbox aveva dei prezzi mensili, trimestrali, semestrali e annuali, ora sono solo i classici 10$ al mese senza alternativa se non la fatturazione annua. I prezzi erano più bassi

Settimo:
1GB = 1$, 100GB = 100$ all'anno. A me pare che sia esageratamente costoso. OKOK sento già le voci di corridoio "ma c'è l'account free, bello!", si c'è anche l'account free ma se poi ti cancellano i dati o misteriosamente li perdono xkè non hanno più spazio di storage...ti attacchi eh

-----------

Non sto facendo una crociata contro dropbox ma secondo me tanti di voi sono un po' troppo presi da questa moda di caricare in rete i file e perdono di vista il controllo della situazione, e pensano che sia tutto facile, dovuto, immediato, a portata di click. Si è vero è così ma finché le cose funzionano. Ma poi chi mi garantisce la sicurezza di ciò che carico? Che infrastrutture hanno?

Tanto si sà per cosa vengono usati questi servizi, dai! Sono strapieni di AVI, MKV, MP4, RAR...certo certo sono i video e le foto delle vacanze. Facciamo finta che ci credo. Cmq fra questi "filmini\foto delle vacanze" prima o poi forse ci caricherete anche roba di lavoro (magari su altro account xkè "non volete mescolare troppo la roba) o roba cmq importante xkè vi torna comodo in qualche modo. Poi arriva il giorno che succede il fattaccio...e puff...i dati spariscono, e voi lì dietro col contratto in mano armati di "io ho pagato voglio la mia roba" già vi vedo coi forconi in mano

Allora recentemente (xkè più indietro nel tempo ci sarebbe troppo da discutere) altri, chiamiamoli per quello che sono, cyberlocker disgraziatamente hanno "perso" moltissimi "filmini e foto delle vacanze" caricato dalle persone; 3 a caso: uploaded.to, putlocker.com, sharpfile.com nel giro di una settimana hanno quasi rasato al suolo il proprio database. Il primo xkè han fatto casino ad aggiornare i server, il secondo idem ma con in più la rottura di qualche server, il terzo per la rottura dello storage.

Hai pagato, sì, hai perso i dati, sì, non li hai da nessun'altra parte, sì, non ci puoi fare niente xkè nel contratto sono definite "cause di forza maggiore", si,....e ora? puppa

"Ma che c'entra tutto questo con gli SMS?"
Niente! Tutto! Qualcosa! Boh?

"Vabbè ma tanto io ci carico solo qualche c**z***a tanto così per !"
Allora per me te le puoi anche tenere senza caricarle

Ma lo devo fare o no?
Ma fai quello che ti pare, l'importante è che tu lo faccia con la testa e non xkè hai sentito qualcuno che l'ha fatto e per non restare sotto inconsciamente lo fai anche te. Cmq a me fa piacere, usatela, è una sfida in più
Arthens28 Agosto 2012, 11:31 #10
Evito di commentare i primi punti, che di tecnico hanno poco.

Originariamente inviato da: Perseverance
Terzo: adesso il sistema di autenticazione dipende da 2 sistemi, se uno si rompe l'altro viene meno; se non posso ricevere messaggi per qualche motivo non posso accedere a dropbox. Se la società di servizi SMS decide che il mio operatore non lo vuol più gestire xkè gli costa troppo non posso accedere a dropbox. Va bene, succederà una volta forse no, ci saranno avvisi come no..ma intanto romperebbe le scatole. Ma il concetto è che il mio login dipende anche da qualcun'altro, di me mi posso fidare ma degli altri no.


Dropbox, cosi come Google, ti da un codice che puoi utilizzare per recuperare l'account in caso che il cellulare non funzioni.

Originariamente inviato da: Perseverance
Quarto: il sistema degli SMS può essere cmq implementato senza per forza obbligare a usarlo per la conferma del login. E' sufficiente mandare un SMS:

"Hey qualcuno ha effettuato l'accesso al tuo account dal seguente indirizzo IP xx.yy.zz.ww, sei stato tu?!
Se no rispondi al messaggio con 1234 per bloccare temporaneamente il tuo account!"


Dove mi hanno chiesto di progettare sistemi di controllo e autenticazione io ho sempre fatto così. Il login dipende SOLO e SOLTANTO dal server, l'utente viene solo informato e gli viene data la possibilità di agire tempestivamente.


Scusa ma il sistema che stai descrivendo di sicuro non ha proprio nulla.
Per bypassarlo e' sufficiente entrare nell'account in un momento in cui l'utente non ha visibilita' del suo telefinino (fallo alle 4 del mattino e al 99% l'utente sta dormendo, e quando si svegliera' al mattino si trovera' la sorpresina)

Originariamente inviato da: Perseverance
E' concettualmente sbagliatissimo legare il login a 2 sistemi differenti che devono essere verificati entrambi. Se tutto funziona va bene, xò è quando le cose non funzionano che ci sono i malcontenti e le rogne.


Tu lo chiami sbagliatissimo, io (e Google, Dropbox, Amazon e moltre altre compagnie) lo chiamiamo sicuro.
E di poco funzionale c'e' poco. Io ho viaggiato per 3 mesi in Asia senza il mio cellulare e con questo sistema abilitato sia su Google che su Facebook, e indovina un po'? Nessun problema.

Originariamente inviato da: Perseverance
Quinto:
Obbligare gli utenti a usare StR0Ng_Pa$$w()r|> minimo di 10 caratteri, con massimo 1 tentativo di accesso ogni 120 secondi basato sull'username e non sull'IP.


Effettivo contro gli attacchi brute force, inutile contro altri attacchi (giusto per dirne uno: keyloggers).
Piccola nota, il brute force e' l'attacco meno pericoloso per quanto riguarda i servizi online.

Originariamente inviato da: Perseverance
Sesto:
Implementare un servizio SMS costa! Costa anche a DropBox che alla fine costa agli utenti xkè aumentano i prezzi o aumentano la pubblicità. Forse sbaglio ma mi sembra di ricordare che dropbox aveva dei prezzi mensili, trimestrali, semestrali e annuali, ora sono solo i classici 10$ al mese senza alternativa se non la fatturazione annua. I prezzi erano più bassi


Eh certo, i prezzi di dropbox sono aumentati perche' ora ti mandano un sms da 0.6centesimi ogni volta che ti logghi da un nuovo compouter

Il prezzo degli sms e' irrisorio.

Originariamente inviato da: Perseverance
Non sto facendo una crociata contro dropbox ma secondo me tanti di voi sono un po' troppo presi da questa moda di caricare in rete i file e perdono di vista il controllo della situazione, e pensano che sia tutto facile, dovuto, immediato, a portata di click. Si è vero è così ma finché le cose funzionano. Ma poi chi mi garantisce la sicurezza di ciò che carico? Che infrastrutture hanno?

Tanto si sà per cosa vengono usati questi servizi, dai! Sono strapieni di AVI, MKV, MP4, RAR...certo certo sono i video e le foto delle vacanze. Facciamo finta che ci credo. Cmq fra questi "filmini\foto delle vacanze" prima o poi forse ci caricherete anche roba di lavoro (magari su altro account xkè "non volete mescolare troppo la roba) o roba cmq importante xkè vi torna comodo in qualche modo. Poi arriva il giorno che succede il fattaccio...e puff...i dati spariscono, e voi lì dietro col contratto in mano armati di "io ho pagato voglio la mia roba" già vi vedo coi forconi in mano

Allora recentemente (xkè più indietro nel tempo ci sarebbe troppo da discutere) altri, chiamiamoli per quello che sono, cyberlocker disgraziatamente hanno "perso" moltissimi "filmini e foto delle vacanze" caricato dalle persone; 3 a caso: uploaded.to, putlocker.com, sharpfile.com nel giro di una settimana hanno quasi rasato al suolo il proprio database. Il primo xkè han fatto casino ad aggiornare i server, il secondo idem ma con in più la rottura di qualche server, il terzo per la rottura dello storage.

Hai pagato, sì, hai perso i dati, sì, non li hai da nessun'altra parte, sì, non ci puoi fare niente xkè nel contratto sono definite "cause di forza maggiore", si,....e ora? puppa


Ognuno con i propri dati ci fa cio' che vuole, personalmente trovo dropbox utilissimo. Ho viaggiato in Asia per 3 mesi, e grazie a dropbox "inviavo" a casa le mie foto ogni sera, cosi se anche avessi perso pc e macchina fotografica le mie foto sarebbero state al sicuro.
Ed ora che mi son fermato in Australia sempre grazie a dropbox ho a disposizione tutti i miei file pur non avendo qua il mio hard disk.

E riguardo alla sicurezza non ho nulla di cui preoccuparmi. Ho 2 copie complete dei miei dati (piu' una parziale), di cui una (quella di dropbox) che contiene anche i file cancellati nei 3 mesi passati. E si sincronizzano automaticamente, senza che io debba muovere un dito.

Se anche dropbox dovesse saltare (cosa abbastanza... improbabile, essendo basato su Amazon S3) avrei ugualmente un'altra copia (avere dropbox mica significa dover cancellare i file locali). E se vogliamo parlare di probabilita' e' molto piu' facile che perda la mia copia locale.

E se parliamo di sicurezza dei dati contenuti... ovviamente e' meglio evitare di mettere su dropbox dei dati sensibili (a meno che non si prendano delle precauzioni, tipo cifrare i dati con gpg o qualcosa di simile)

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^