在线存储和文件共享网站Dropbox推出了两步安全认证,以应对影响Dropbox用户和其他基于云的公司的主要安全漏洞。该公司通过其一个社区技术论坛宣布了这一消息。PayPal等网站提供的两步认证通过要求额外的安全码(通过短信发送到用户手机或由移动认证器应用程序生成)为在线账户增加了额外的一层保护。这篇文章说:“我们希望给我们忠实的论坛观众一个尝试的机会。”
启用后,当用户登录Dropbox或链接到新电脑、手机或平板电脑时,Dropbox除了用户密码之外,还需要六位数的安全码。Dropbox为用户提供了使用第三方认证器应用的选择,并支持谷歌安卓、苹果iOS、黑莓和微软Windows Phone设备上的应用。出于安全原因,用户将被要求重新输入密码,以确认启用两步身份验证的决定。该操作完成后,将为用户提供通过短信接收安全码或使用上述移动应用程序的选择。
如果用户选择通过短信接收安全密码,每当用户使用该密码成功登录Dropbox时,包含安全密码的短信都会发送到手机。对于移动应用,可以使用任何支持基于时间的一次性密码(TOTP)协议的应用,包括谷歌认证器(适用于安卓设备、iPhone和黑莓智能手机)、亚马逊网络服务(AWS)、多重认证(MFA)(适用于安卓)和认证器(Windows Phone 7)。在启用两步身份验证之前,用户将收到一个特殊的16位备用代码。
公司要求试用用户在访问特定的URL链接试用该功能之前,确保安装了最新的论坛版本(1.5.12)。然后,该链接会将用户发送到该帐户的安全标签,在页面底部附近的“帐户登录”部分,用户将找到两步身份验证选项。用户可以通过单击(更改)链接开始设置过程。请求:“如果您在启用两步身份验证后取消链接并重新链接您的帐户,并报告您在此主题中的体验,我们将不胜感激。”
该公司今年夏天初对安全事件的调查显示,从其他网站窃取的用户名和密码被用来登录多个Dropbox账户,其中包括一个属于Dropbox员工的账户,该账户包含一份带有用户电子邮件地址的“项目文档”。据该公司称,该文件被认为被用来发起垃圾邮件活动。违规后,荷兰、德国和英国的Dropbox用户开始在Dropbox用户论坛上举报,称自己在网站上收到垃圾邮件。随后的投诉让人怀疑Dropbox被黑了。