Czy bezpieczne jest przechowywanie częściowo wrażliwych informacji w Dropbox?


23

Nie ufałbym Dropbox moim danym bankowym i tym podobnym (ponieważ wiele osób szuka takich informacji), ale czy bezpiecznie jest przechowywać rzeczy, które mogą być cenne dla niewielkiej liczby osób? Np. Informacje wrażliwe z handlowego punktu widzenia, projekty artykułów naukowych, arkusze odpowiedzi na oceny uniwersyteckie I nauczyciel

Czy w drobnym drukowaniu jest coś istotnego na temat prywatności lub własności przechowywanych informacji, które mogłem pominąć?

Jeśli mam dość silne hasło, czy ktoś, kto zna mój adres e-mail, mógłby go zhakować?


7
Bardzo na temat bezpieczeństwa.stackexchange.com
Rory Alsop

Wiele spostrzeżeń w tym poście na blogu Miguela de Icazy
Vincent Buck

Odpowiedzi:


29

Warunki korzystania z usługi Dropbox stanowią, że nie rości sobie prawa własności i wydają się mieć dobre bezpieczeństwo. Aby zresetować hasło, Dropbox wysyła wiadomość e-mail z kodem resetowania. Ktoś potrzebuje dostępu do twojego konta e-mail, hasła lub komputera, na którym skonfigurowałeś Dropbox, aby uzyskać dostęp do twoich plików.

Jeśli chcesz zwiększyć bezpieczeństwo, możesz użyć TrueCrypt do szyfrowania plików przed ich przesłaniem. Tak długo, jak nie umieścisz plików w folderze publicznym, i tak powinieneś być bezpieczny.

PS Polecam skonsultować się z prawnikami Twojej firmy przed przesłaniem poufnych informacji gdziekolwiek , na wszelki wypadek.


4
+1 za truecrypt, podczas gdy dropbox wydaje się mieć dobre zabezpieczenia, jeśli twoje dane są wrażliwe, nie powinieneś przesyłać go w żadnym miejscu niezaszyfrowanym.
Phoshi

3
Używam Dropbox z 500 MB truecrypt. To wspaniale: jeśli coś tam włożę, tylko zmiany zostaną zsynchronizowane (po odmontowaniu!) - to nie jest trudne, ale także nie jest trywialne. Czasami otrzymuję plik konfliktu, gdy pobierany jest cały drugi kontener. Po zamontowaniu obu i zsynchronizowaniu ich usuwam jeden z nich. Dlatego dla początkującego użytkownika jest to idealne narzędzie.
towi

2
Nie zgadzam się z tym, że Dropbox ma dobre zabezpieczenia - wymagałoby to przechowywania kluczy szyfrowania na kliencie lub przynajmniej szyfrowania ich hasłem. Oczywiście zapobiegnie to takim funkcjom, jak dostęp do plików, jeśli zapomnisz hasła, ale nadal oznacza to, że ich bezpieczeństwo jest co najwyżej „przyzwoite”. Zdecydowanie użyłbym jakiegoś schematu szyfrowania (używam szyfrowania, ponieważ szyfruje on każdy plik osobno, co jest mniej bezpieczne, ale wygodniejsze, moim zdaniem), gdybym chciał wprowadzić poufne informacje handlowe.
André Paramés

@ André Jeśli potrzebujesz tego rodzaju zabezpieczeń, spróbuj link lub link . Usługi te przechowują twoje klucze szyfrujące po stronie klienta, chociaż SpiderOak pozwoli ci na dostęp do sieci, jeśli podasz hasło (obiecują, że będą przechowywać je w pamięci serwera tylko na czas sesji).
user775598

1
Rzeczywiście wydawali się mieć dobre bezpieczeństwo. Błąd z 19 czerwca rozwiązał tę iluzję; traktuj wszystko na swoim koncie jako publiczne.
Piskvor

13

Wszystko zależy od tego, na jakim poziomie „bezpieczeństwa” czujesz się komfortowo. Oto kilka punktów do rozważenia:

  • Wszystkie (lub część) pliki w Dropbox są również przechowywane lokalnie. Możesz wybrać synchronizację części swojego Dropbox na innych komputerach, ale jeden z twoich komputerów gdzieś ma pełny stan. Oznacza to, że jeśli Twoja maszyna zostanie kiedykolwiek zgubiona, toast, ponieważ informacje te nie są zaszyfrowane ani bezpieczne.
  • Dropbox jest tylko tak bezpieczny, jak to tylko możliwe z ludzkiego punktu widzenia, a może nawet nie tak bardzo. (Na przykład: pracownicy Dropbox mogą zobaczyć twoje treści i na żądanie przekażą je rządowi. Zwykli mówić, że nie mogą tego zrobić, ale później zmienili swoje oświadczenie).
  • Truecrypt jest świetny do użycia w połączeniu z Dropbox. Należy jednak pamiętać, że Dropbox nie będzie w stanie dokonywać aktualizacji pojedynczych plików, gdy dowolny plik w woluminie TrueCrypt ulegnie zmianie - cały wolumin będzie musiał zostać ponownie podniesiony.
  • Ostatecznie wszystko zależy od Twojego poziomu komfortu i tego, jak bardzo ufasz zarówno sieciom, w których żyjesz, jak i usłudze i jej pracownikom.

Podobnie jak w drugiej odpowiedzi, najpierw skonsultuj się z prawnikami swojej firmy. Nawet jeśli byłyby w 100% bezpieczne, mogą nie lubić przechowywania tajemnic w innym miejscu, o które muszą się martwić.


1
+1, szczególnie za stwierdzenie, że pracownicy Dropbox mogą zobaczyć Twoje treści . Jest to ważne, ponieważ mogą istnieć inne usługi udostępniania plików, które zamiast tego szyfrują pliki za pomocą hasła, uniemożliwiając ich odczytanie nawet dla nich samych.
Macke

2
Jako użytkownik Dropbox i TC odkryłem, że nie jest w pełni poprawne stwierdzenie, że zmiana wewnątrz zaszyfrowanego kontenera spowoduje ponowne załadowanie całego kontenera: przeniesiona zostanie większa ilość danych niż w przypadku niezaszyfrowanego pliku, ale DB przesyła tylko zmienione części pliku - a przy wystarczająco dużych kontenerach TC stosunkowo niewielkie zmiany plików w zaszyfrowanym woluminie nie spowodują zmiany całego kontenera (znacznie większa część kontenera zmienia się niż część zajmowana przez te pliki). Choć teoretycznie kanał boczny, pomaga przy wielkości transferu.
Piskvor

(np. kontener 500 MB, zmiana 1 MB plików, odmontowanie, Dropbox rozpoczyna ponowne indeksowanie kontenera, a następnie przesyła ok. 50 MB)
Piskvor

8

Możesz użyć BoxCryptor do automatycznego szyfrowania wszystkich plików, które są przesyłane do Dropbox.


2
Uwaga boczne kanały: nazwy plików (i rozszerzenia) są widoczne; przy słabym haśle może to otworzyć możliwości szybszego złamania siły (np. nagłówki różnych formatów są dobrze znane, stąd częściowo znany atak w postaci zwykłego tekstu). Dla większości ludzi jest to mało prawdopodobne, ale dobrze jest o tym wiedzieć. (ale rzeczywiście wygląda schludnie, zdecydowanie wystarczająco dobrze w stosunku do zwykłych szpiegów; zauważ również, że istnieje wsparcie dla wielu platform)
Piskvor

@Piskvor: - najnowsza wersja również szyfruje nazwy plików.
Giorgi

Racja - po kilku poszukiwaniach widzę, że wspominają o tym na swoim blogu; sama strona tego nie mówi, a zrzuty ekranu pochodzą prawdopodobnie ze starszej wersji.
Piskvor


4

Powinienem zauważyć, że w odniesieniu do projektów artykułów naukowych większość instytucji badawczych (w tym uniwersytetów / szkół wyższych) ma bardzo rygorystyczne zasady przechowywania danych, a przechowywanie dokumentów poza miejscem pracy może naruszać tę politykę. Zanim zrobisz coś podobnego, skontaktuj się ze starszym administratorem lub kimś, kto wie, co mówi ta polisa, ponieważ możesz potencjalnie odebrać fundusze, jeśli popełnisz tego rodzaju błąd.


2

Dropbox nie ma dobrego bezpieczeństwa ani pod względem poufności, ani dostępności, więc jeśli Twoje dane są wrażliwe lub muszą być dostępne przez cały czas, musisz coś z tym zrobić.

Aby zachować poufność, zaszyfruj: truecrypt dobrze współpracuje z Dropbox

Aby sprawdzić dostępność, zapoznaj się z wieloma alternatywami.


2

Cokolwiek umieścisz w Dropbox, załóż, że któregoś dnia zostanie udostępnione publiczności. Ponieważ tak właśnie było wczoraj przez 4 godziny. Zastosuj własny sposób szyfrowania przed zapisaniem czegokolwiek w Dropbox.


1
+1 Dotyczy wszystkiego i wszystkiego, co umieszczasz „w chmurze”, nie tylko Dropbox.
Piskvor

1

Być może zechcesz przeczytać ten artykuł InformationWeek . Raportuje, że w DropBox pojawiły się zarzuty dotyczące potencjalnych problemów związanych z bezpieczeństwem i prywatnością z powodu ich procedur usuwania duplikatów. Dropbox liczniki , że ich pracownicy mają ograniczone, jeśli w ogóle dostępu do plików użytkowników, chociaż kilka «trzeba», i że mają one załatwione pewne problemy, ale nie chodzi o ich zdolność do identyfikacji i śledzenia co użytkownicy przesłanym co i ich raportowania polityka władz. Współtwórcą PGP, popularny protokół szyfrowania, usunął swoje konto DropBox i oskarża je o nieszyfrowanie plików (chociaż prawdopodobnie mówi o tym, jak DropBox używa klucza globalnego zamiast osobnych kluczy dla każdego użytkownika - co oczywiście byłoby znacznie bezpieczniejsze) .

Nic dziwnego, że wszystko sprowadza się do rzeczywistych plików, które chcesz przechowywać i tego, jak ważne są dla Ciebie. Na koniec musisz wykonać osobistą rozmowę telefoniczną na podstawie dostępnych informacji.


dzięki, wydaje się, że w równowadze jest bezpieczniejsze niż większość moich drukowanych egzemplarzy unoszących się po niewłaściwej stronie list zakupów i tym podobne.
Kirt

Korzystam z tylnej części rachunków kasowych biblioteki. :-)
Synetech

1

Jeśli mam dość silne hasło, czy ktoś, kto zna mój adres e-mail, mógłby go zhakować?

Wygląda na to, że twoje hasło jest zupełnie nieistotne : w przeszłości Dropbox ( tak szeroko nagłośniony incydent miał miejsce w dniu 19.06.2011, oficjalna odpowiedź Dropbox tutaj ), zaakceptował każde hasło jako ważne przez dłuższy czas - to znaczy , każdy mógł się zalogować jako Ty, znając tylko Twoją nazwę użytkownika .

To, oprócz ostatniej zmiany polityki bezpieczeństwa (która mówi w zasadzie „możemy teraz uzyskać dostęp do twoich plików, pomimo naszych poprzednich stwierdzeń przeciwnych”), oznacza jedno:

NIE, nie jest to bezpieczniejsze niż publiczne udostępnianie tych plików : nie mogę znaleźć żadnej gwarancji, że podobnie ogromny problem nie powtórzy się jutro, a architektura systemu nie wydaje się sama chronić twoich plików (i polegając na zewnętrznej ochronie, takiej jak if(password_ok = 1), zapewniamy, bezpłatny dostęp dla każdego).

Innymi słowy: najwyraźniej nie ma żadnego użytecznego szyfrowania (pomimo wcześniejszych roszczeń), dlatego powinieneś traktować pliki tak, jakby były otwarte. Jeśli więc planujesz przechować tam coś wrażliwego, nie przechowuj tego w postaci niezaszyfrowanej : użyj zewnętrznego systemu szyfrowania (np. Pliku kontenera Truecrypt - nawet wiki Dropbox sugeruje użycie tego [sic!]) I zsynchronizuj kontener - jest zaszyfrowany po twojej stronie, a zatem nieczytelne bez hasła do kontenera (którego Dropbox nie ma); lub użyj innego dostawcy synchronizacji w chmurze, który zapewnia faktyczne szyfrowanie po stronie klienta.


-1

Nie!

Dropbox jest zobowiązany do przekazania twoich danych rządowi USA, jeśli zdecydują się powołać na ciebie Ustawę Patriot z jakiegokolwiek powodu. Istnieje również ustawa Komunikacja przechowywane 1986 gdzie czwartą zmianę prawa do prywatności i nie dotyczą one mogą wezwania dane z jakiegoś możliwie rozsądnej przyczyny.

Nawet jeśli zaszyfrujesz swoje dane i umieścisz je w Dropbox, istnieje szansa, że ​​ci przyjaźni ludzie z ciemnego rządu będą mogli odczytać twoje dane, jeśli naprawdę będą chcieli. Niezależnie od najnowszego i najlepszego schematu szyfrowania, w rzeczywistości wchodzą w grę te same czynniki, które otworzyły kody Enigmy z II wojny światowej - Twój artykuł naukowy / propozycja biznesowa / zdjęcia zaczną się od tych samych bajtów, co podczas ostatniego przesyłania, może nie „Heil Hitler!” ale mimo to wystarczająca ilość zduplikowanych treści, aby pro-crackerzy kodu mogli dostać się do twojego klucza prywatnego.

Z amerykańskiej strony stawu obawy dotyczące Ustawy Patriot mogą wydawać się śmieszne. Jednak w Wielkiej Brytanii rozsądne i uważane jest za najlepszą praktykę, aby nie przechowywać danych osobowych na serwerach w USA, nawet jeśli informacje te są całkowicie nieszkodliwe, np. Baza danych klientów. Raz po raz amerykańskie agencje szpiegowskie okazały się niewiarygodne, więc po co ufać swoim danym firmom dostępnym dla nich? Czasami liczy się zasada, a nie dane. Rozczarowuje mnie, że nie wspomniano o tym w odpowiedziach udzielonych w tym wątku (do tej pory).


1
-1: Ta odpowiedź odzwierciedla podstawowe nieporozumienie dotyczące działania obecnych technik szyfrowania. Rząd może być duży i dobrze finansowany, ale nie może złamać matematyki. Kody Enigmy są słabym porównaniem, ponieważ „uważano je za bezpieczne”, ale nie były możliwe do udowodnienia, jak w przypadku współczesnych algorytmów (np. Twofish, AES). Co więcej, pomija to najważniejszą kwestię - dlaczego, u diabła, ze Stanami Zjednoczonymi szyfrują swoje ściśle tajne dane za pomocą algorytmu, o którym wiedzieli, że został uszkodzony? To nie ma sensu
Billy ONeal

Rząd złamał PGP technikami „Enigmy”. Tak było w „New York Timesie” w 2002 r. - Nie mam na to ręki i nie mogę stwierdzić z całą pewnością, że nie byłem zaangażowany. Istnieje różnica między teorią fotela a praktyką wojenną, czy to WW2, czy TWAT - The War Against Terror. W tamtym czasie było wielu ludzi, którzy wierzyli, że PGP było lepsze niż „całkiem dobre” uzasadnienie X, pod każdym względem niezniszczalne. Pomija się czynnik ludzki, który jest zasadniczą różnicą między teorią a praktyką. Teraz sprzedaj mi niezatapialny Titanic.
ʍǝɥʇɐɯ

W rzeczywistości jest to całkowicie dyskusyjne - Dropbox oświadczył, że przestrzega prawa w przypadku wezwania do sądu. Oczywiście ich szyfrowanie jest odwracalne; w ten sposób możesz uzyskać dostęp do swoich plików za pośrednictwem interfejsu online. Prawdziwym powodem, dla którego ta odpowiedź nie jest przydatna, jest to, że ignoruje ona pytanie osoby zadającej pytanie: nie martwi się, że rząd zobaczy jego dokumenty. On nie jest przestępcą. To tylko drobne, nieco delikatne rzeczy, ale nie tajemnice państwowe.
nhinkle

1
Analogicznie, co jeśli Dropbox miałby siedzibę w Chinach? Czy byłbyś z tego zadowolony? Nawet jeśli nie masz nic do ukrycia? Oczywiście że tak !!! Czy to podoba, czy nie, Chiny są łagodne i nieszkodliwe w porównaniu z stanem policyjnym z 11 września USA. Wbrew temu, co mówi Fox News, rząd USA nie wydaje 80 miliardów dolarów rocznie na polowanie na bin Ladena. „Przechwycić komunikację prywatną i handlową, a nie komunikację wojskową”, był werdykt Parlamentu Europejskiego w 2001 r. Wystarczy zapytać Airbusa - po rzuceniu się na nią wątpię, czy ufają „chmurze” podczas przetargów przeciwko Boeingowi.
22:25

1
... a dzisiaj ukochany Dropbox nie ma haseł do plików nikogo przez cztery godziny. kochanie och kochanie
ʍǝɥʇɐɯ
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.