Безопасно ли хранить полусекретную информацию в Dropbox?


23

Я бы не стал доверять Dropbox мои банковские реквизиты и тому подобное (потому что многие ищут такую ​​информацию), но безопасно ли хранить вещи, которые могут быть полезны для небольшого числа людей? Например, коммерчески конфиденциальная информация, проекты научных работ, листы ответов для оценок университетов, репетитор и т. Д.

Есть ли в мелком шрифте какая-либо информация о конфиденциальности или праве собственности на хранимую информацию, которую я мог пропустить?

Пока у меня достаточно надежный пароль, может ли кто-нибудь, кто знает мой адрес электронной почты, взломать его?


7
Очень по теме для security.stackexchange.com
Рори Олсоп

Ответы:


29

Условия предоставления услуг Dropbox гласят, что они не претендуют на права собственности и, похоже, имеют хорошую безопасность. Чтобы сбросить пароль, Dropbox отправляет вам электронное письмо с кодом сброса. Кому-то потребуется доступ к вашей учетной записи электронной почты, вашему паролю или компьютеру, на котором вы настроили Dropbox, для доступа к вашим файлам.

Если вы хотите большей безопасности, вы можете использовать TrueCrypt для шифрования файлов перед их загрузкой. Пока вы не помещаете файлы в общую папку, вы все равно должны быть в безопасности.

PS Я рекомендую проконсультироваться с юристами вашей компании, прежде чем загружать секретную информацию в любом месте , на всякий случай.


4
+1 для TrueCrypt, в то время как Dropbox , кажется, безопасность сделано хорошо, если ваши данные чувствительны , вы не должны загружать его в любом месте в незашифрованном виде.
Фоши

3
Я использую Dropbox с контейнером truecrypt объемом 500 МБ. Это здорово: если я добавлю что-то, синхронизируются только изменения (после размонтирования!) - это не сложно, но и не тривиально. Иногда я получаю файл конфликта, когда загружается целый второй контейнер. После монтирования обоих и их синхронизации я удаляю один из них. Таким образом, для более начинающего пользователя идеальный инструмент.
Towi

2
Я не согласен с тем, что Dropbox обладает хорошей безопасностью - для этого потребуется сохранить ключи шифрования на клиенте или, по крайней мере, зашифровать их с помощью вашего пароля. Конечно, это может помешать таким функциям, как доступ к вашим файлам, если вы забудете свой пароль, но это все равно означает, что их безопасность в большинстве случаев "приличная". Я бы определенно использовал некоторую схему шифрования (я использую encfs, потому что она шифрует каждый файл отдельно, что, на мой взгляд, менее безопасно, но более удобно), если бы я должен был разместить коммерчески конфиденциальную информацию.
Андре Парамес

@ Андре Если вам нужна такая безопасность, попробуйте ссылку или ссылку . Эти сервисы хранят ваши ключи шифрования на стороне клиента, хотя SpiderOak разрешит вам веб-доступ, если вы дадите ему пароль (они обещают хранить его только в памяти сервера на время сеанса).
user775598

1
Они действительно, казалось, имели хорошую безопасность. Ошибка 19 июня развеяла эту иллюзию; Считайте все в вашем аккаунте публичным.
Писквор

13

Все зависит от того, какой уровень «безопасности» вам удобен. Вот несколько моментов для рассмотрения:

  • Все (или часть) файлы в Dropbox также хранятся локально. Вы можете синхронизировать части вашего Dropbox на других машинах, но одна из ваших машин где-то имеет полное состояние. Это означает, что если ваша машина когда-либо будет потеряна, вы будете тостом, потому что эта информация не зашифрована и не защищена.
  • Dropbox настолько безопасен, насколько это возможно для человека, и, возможно, даже не настолько. (Например, сотрудники Dropbox могут видеть ваш контент и, если его спросят, передадут его правительству. Раньше они говорили, что не могут этого сделать, но позже изменили свое утверждение.)
  • Truecrypt отлично подходит для использования вместе с Dropbox. Однако обратите внимание, что Dropbox не сможет выполнять однофайловые обновления при изменении какого-либо файла в томе TrueCrypt - весь том придется снова перемещать вверх.
  • В конечном итоге все зависит от вашего уровня комфорта и от того, насколько вы доверяете как сетям, в которых вы живете, так и службе и ее сотрудникам.

Как и в другом ответе, сначала проконсультируйтесь с юристами вашей компании. Даже если бы это было на 100% безопасно, им может не понравиться хранить секреты в другом месте, о котором им нужно беспокоиться.


1
+1, особенно за то, что сотрудники Dropbox могут видеть ваш контент . Это важно, и могут быть другие службы обмена файлами, которые вместо этого шифруют файлы с помощью вашего пароля, делая их нечитаемыми даже для самих себя.
Маке

2
Как пользователь Dropbox и TC, я обнаружил, что не совсем правильно говорить, что изменение внутри зашифрованного контейнера приведет к повторной загрузке всего контейнера: будет передано большее количество данных, чем с незашифрованным файлом, но БД загружает только измененные части файла - и при достаточно больших контейнерах TC относительно небольшие изменения в файлах на зашифрованном томе не приведут к изменению всего контейнера (значительно большая часть контейнера изменяется, чем часть, занимаемая этими файлами). Хотя теоретически боковой канал, это помогает с размером передачи.
Писквор

(например: контейнер 500 МБ, изменение 1 МБ файлов, размонтирование, Dropbox начинает повторную индексацию контейнера, а затем передает около 50 МБ)
Piskvor

8

Вы можете использовать BoxCryptor для автоматического шифрования всех файлов, которые загружаются в Dropbox.


2
Обратите внимание на побочные каналы: имена файлов (и расширения) видны; со слабым паролем это может открыть пути к более быстрому взлому взлома (например, заголовки различных форматов хорошо известны, следовательно, частично известна атака открытым текстом). Для большинства людей это маловероятно, но это полезно знать. (но это действительно выглядит аккуратно, определенно достаточно хорошо для случайных шпионов; обратите внимание также, что есть кроссплатформенная поддержка)
Piskvor

@Piskvor: - последняя версия также шифрует имена файлов.
Георгий

Справедливо: после небольшого поиска я вижу, что они упоминают об этом в своем блоге; сам сайт не говорит об этом, и скриншоты, видимо, из более старой версии.
Писквор


4

Я должен отметить, что в отношении проектов научных работ большинство исследовательских институтов (включая университеты / колледжи) придерживаются очень строгих правил хранения данных, и хранение ваших работ вне офиса, вероятно, является нарушением этой политики. Прежде чем делать что-либо подобное, пожалуйста, уточните у старшего администратора или кого-то, кто знает, что говорится в этой политике, потому что вы можете получить финансирование, если совершите ошибку такого типа.


2

Dropbox не имеет хорошей защиты ни с точки зрения конфиденциальности, ни с точки зрения доступности, поэтому, если ваши данные конфиденциальны или должны быть доступны всегда, вам нужно что-то с этим сделать самостоятельно.

Для конфиденциальности зашифруйте его: truecrypt хорошо работает с Dropbox

Для доступности посмотрите на несколько альтернатив.


2

Что бы вы ни положили на Dropbox, предположите, что когда-нибудь оно будет открыто для публики. Потому что это то, что на самом деле произошло вчера за 4 часа. Примените свой собственный выбор шифрования, прежде чем что-либо хранить в Dropbox.


1
+1 Относится ко всему, что вы помещаете «в облако», а не только к Dropbox.
Писквор

1

Вы можете прочитать эту статью в InformationWeek . Он сообщает, что были обвинения в потенциальных проблемах безопасности и конфиденциальности с DropBox из-за их процедур дедупликации. DropBox возражает, что их сотрудники имеют ограниченный доступ к файлам пользователей, хотя некоторые «нуждаются» в этом, и что они уладили некоторые проблемы, но не в отношении их способности отслеживать и отслеживать то, что пользователи загрузили, и в своих отчетах. политика к властям. Соучредитель PGP, популярный протокол шифрования, удалил свою учетную запись DropBox и обвиняет их в том, что они на самом деле не шифруют файлы (хотя он, вероятно, говорит о том, как DropBox использует глобальный ключ вместо отдельных ключей для каждого пользователя - что, конечно, будет гораздо более безопасным) ,

Неудивительно, что все сводится к фактическим файлам, которые вы хотите сохранить, и к тому, насколько они важны для вас. В конце концов, вы должны сделать личный вызов на основе имеющейся информации.


спасибо, кажется, что в целом это безопаснее, чем большинство моих печатных копий, всплывающих не с той стороны списков покупок и тому подобного.
Кирт

Я использую заднюю часть квитанции выписки из библиотеки. :-)
Synetech

1

Пока у меня достаточно надежный пароль, может ли кто-нибудь, кто знает мой адрес электронной почты, взломать его?

Похоже, ваш пароль совершенно не имеет значения : в прошлом Dropbox ( такой широко опубликованный инцидент произошел 2011-06-19, официальный ответ Dropbox здесь ) принимал любой пароль как действительный в течение длительного периода времени, то есть , любой мог войти в систему как вы, только зная ваше имя пользователя .

Это, в дополнение к недавним изменениям в политике безопасности (которая говорит, по сути, «мы можем получить доступ к вашим файлам сейчас, несмотря на наши предыдущие заявления об обратном»), означает одно:

НЕТ, это не намного безопаснее, чем общедоступность этих файлов : я не могу найти какой-либо гарантии, что такая же серьезная проблема не повторится завтра, а архитектура системы, похоже, сама по себе не защищает ваши файлы. (и полагаться на внешнюю защиту, например, if(password_ok = 1)дает вам свободный доступ для всех).

Другими словами: очевидно, что никакого полезного шифрования не существует (несмотря на предыдущие заявления), поэтому вы должны обращаться с файлами так, как если бы они были открытыми. Поэтому, если вы планируете хранить там что-нибудь чувствительное, не храните его в незашифрованном виде : используйте некоторую внешнюю систему шифрования (например, файл контейнера Truecrypt - даже в вики Dropbox предлагается использовать этот [sic!]) И синхронизируйте контейнер - он зашифрован на вашей стороне и, следовательно, нечитаемы без вашего пароля контейнера (которого нет в Dropbox); или используйте другого поставщика облачной синхронизации, который обеспечивает фактическое шифрование на стороне клиента.


-1

Нет!

Dropbox обязаны передать ваши данные правительству США, если они решат применить к вам Закон о патриотизме по любой причине. Существует также Закон о сохраненных коммуникациях 1986 года, в котором Права четвертой поправки на неприкосновенность частной жизни не применяются, и они могут вызывать ваши данные по каким-либо разумным причинам.

Даже если вы зашифруете свои данные и поместите их в Dropbox, есть вероятность, что эти дружелюбные люди в темном правительстве смогут прочитать ваши данные, если они действительно захотят. Независимо от последней и самой лучшей схемы шифрования, в реальной жизни в игру вступают те же факторы, которые открыли коды Enigma WW2 - ваша научная статья / деловое предложение / фотографии будут начинаться с тех же байтов, что и в прошлый раз, когда вы их загрузили, возможно, нет «Хайль Гитлер!» но, тем не менее, достаточно дубликата контента для профессиональных взломщиков кода, чтобы получить ваш закрытый ключ.

С американской стороны пруда опасения по поводу Закона о патриотизме могут показаться смешными. Однако в Великобритании вполне разумно и считается лучшей практикой не хранить личную информацию на серверах США, даже если эта информация совершенно безвредна, например, база данных клиентов. Снова и снова американские шпионские агентства доказывают, что они ненадежны, так зачем доверять своим данным компаниям, доступным для них? Иногда важен принцип, а не ваши данные. Меня разочаровывает, что это не было упомянуто в ответах, представленных в этой теме (на сегодняшний день).


1
-1: Этот ответ отражает фундаментальное недопонимание того, как работают современные методы шифрования. Правительство может быть большим и хорошо финансируемым, но они не могут сломать математику. Коды Enigma - плохое сравнение, потому что они «считались» безопасными, но не были доказуемо безопасными, как современные алгоритмы (например, Twofish, AES). Кроме того, это упускает из виду самый важный момент - зачем США шифруют свои сверхсекретные данные с помощью алгоритма, который, как они знали, был взломан? Не имеет смысла
Билли ОНил

Правительство сломало PGP с помощью техники «Enigma». Это было в «Нью-Йорк Таймс» в 2002 году - у меня нет ссылки, и я не могу с уверенностью утверждать, что у меня не было причастности. Существует огромная разница между теорией кресел и практикой военного времени, будь то WW2 или TWAT - война против террора. В то время было много людей, которые полагали, что PGP лучше, чем «довольно хорошо» для оправдания X, со всеми намерениями и целями, которые невозможно сломить. Вы упускаете из виду человеческий фактор, который является решающим различием между теорией и практикой. Теперь продай мне непотопляемый Титаник.
ʍǝɥʇɐɯ

Это на самом деле спорный вопрос - Dropbox заявил, что они соблюдают правоохранительные органы, если они получают повестку в суд. Очевидно, что их шифрование обратимо; Вот как вы можете получить доступ к своим файлам через онлайн-интерфейс. Настоящая причина, по которой этот ответ бесполезен, заключается в том, что он игнорирует вопрос задающего вопрос: его не волнует, что правительство увидит его бумаги. Он не какой-то преступник. Это всего лишь мелкие, несколько чувствительные вещи, но не государственные секреты.
nhinkle

1
По аналогии, что если Dropbox базируется в Китае? Будете ли вы счастливы с этим? Даже если тебе нечего было скрывать? Конечно, вы бы !!! Нравится нам это или нет, но Китай мягок и безвреден по сравнению с полицейским государством после 11 сентября США. Вопреки тому, что Fox News сообщает вам, правительство США не тратит 80 миллиардов долларов в год на охоту на бен Ладена. «Перехватывать частные и коммерческие коммуникации, а не военные коммуникации» был вердиктом Европейского парламента в 2001 году. Просто спросите Airbus - после того, как меня обвинили, я сомневаюсь, что они доверяют «облаку» при проведении торгов против Boeing.
ʍǝɥʇɐɯ

1
... и сегодня любимый Dropbox не имеет паролей к чьим-либо файлам в течение четырех часов. дорогой о дорогой
ʍǝɥʇɐɯ
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.