:: 게시판
:: 이전 게시판
|
- 자유 주제로 사용할 수 있는 게시판입니다.
- 토론 게시판의 용도를 겸합니다.
통합규정 1.3 이용안내 인용"Pgr은 '명문화된 삭제규정'이 반드시 필요하지 않은 분을 환영합니다.법 없이도 사는 사람, 남에게 상처를 주지 않으면서 같이 이야기 나눌 수 있는 분이면 좋겠습니다."
14/10/14 16:17
https://blog.dropbox.com/2014/10/dropbox-wasnt-hacked/
드랍박스 공식 블로그에 올라온 글을 참조하면, 드랍박스 계정이 털린게 아니라 다른 서비스의 계정을 털고나서 해당 계정 정보를 이용하여 드랍박스에 로그인을 시도했는데, 그중 몇개가 일치해서 뚫린것 같네요
14/10/14 16:19
Attacks like these are one of the reasons why we strongly encourage users not to reuse passwords across services.
라고는 하지만 귀찮아서 저렇게 하기 힘든게 사실이죠 ㅜㅜ
14/10/14 16:39
잡아떼는지 아닌지 알 수는 없으나 흔하게 계정을 털 수 있는 방법이기는 합니다.
보안이 허접한 곳을 털고 얻어낸 아이디와 비번으로 다른곳에 로그인을 하는..
14/10/14 16:32
저는 그래서 드롭박스 OTP를 쓰고 있었죠!! 짱 좋다능...
OTP는 무조건 옳습니다. 이 세상 모든 서비스에 OTP를 도입해야 합니다. 뭔가 삶이 보안스러워지고 스타벅스에서 맥북을 쓰면서 유유자적 커피를 마시는 뉴요커의 기분이 듭니다.
14/10/14 18:44
드롭박스 웹 사이트에서 설정에 들어 가면 '2단계 인증'(two-step authentication)이라는 메뉴가 있습니다. 자세한 도움말은 https://www.dropbox.com/ko/help/363
표준 OTP 규격을 쓰기 때문에 대부분의 OTP 앱과 호환이 됩니다. 구글, 마이크로소프트, 페이스북, 에버노트 다 똑같은 규격을 쓰거든요. 안드로이드이서 돌아가는 앱으로 대표적인 게 '구글 OTP'라는 앱이고요. https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2 보안성은 좀 떨어지지만 컴퓨터용 OTP 생성기 프로그램도 있습니다.
14/10/14 16:56
아직까지는 헤커들이 주장하는 정도이고, 실제 어느 정도 피해인지는 정확하진 않네요.
어쨌든 비번 바꾸고, 2step authenticator 를 사용하기를 권장하네요.
14/10/14 17:36
드랍박스에서 피해가 확인된 사용자에게 비번을 바꾸라는 메일을 보냈다고 하네요. 메일이 안왔으면 일단 유출여부가 확인 안된듯...
14/10/14 21:09
오유도 mysql의 비밀번호 필드를 password타입이 아니라 char 타입으로 해둬서 관리자가 유저 비밀번호를 알 수 있었던적이 있었습니다. 원래 암호화해서 저장하도록 되어 있습니다. 지금은 어찌됐는지 모르지만..
700만명이라는게 의심가는게 700만 유저를 가진 서비스가 털린거라면 그 기사가 먼저 떴어야 하는데 드랍박스 외에는 조용하네요.
14/10/14 22:21
공교롭게도 같은 이름의 계정에서 비밀번호가 동일한 게 없긴 하네요. 그나마 다행이지만, 바꾸기는 바꿔야겠죠...
이번 건으로 드롭박스의 타격이 상당히 클 것으로 예상되네요.
14/10/15 07:49
700만건이면 안 유명한 서드파티를 통해 털린걸텐데.. 희안한 서드파티 앱에 드랍박스 연결시켜둔 상태 아니라면 별 문제 없지 싶습니다.
|