Yarı hassas bilgileri Dropbox'ta saklamak güvenli midir?


23

Banka bilgilerimle Dropbox'a güvenmezdim (böyle bir bilgi arayan çok sayıda insan var), ancak az sayıda insan için değerli olabilecek şeyleri saklamak güvenli midir? Örneğin, ticari olarak hassas bilgiler, bilimsel makaleler taslakları, ders verdiğim üniversite değerlendirmeleri için cevap kağıtları vb.

İnce baskıda, kaçırmış olabileceğim kayıtlı bilgilerin gizliliği ya da mülkiyeti hakkında bir şey var mı?

Oldukça güçlü bir parolaya sahip olduğum sürece, e-posta adresimi bilen birinin şifresini kırması muhtemel mi?


7
Security.stackexchange.com için çok konuyla ilgili
Rory Alsop

Miguel de Icaza tarafından yazılan bu blog yazısında birçok fikir: tirania.org/blog/archive/2011/Apr-19.html
Vincent Buck

Yanıtlar:


29

Dropbox'ın Hizmet Koşulları, mülkiyet haklarını talep etmediklerini ve iyi bir güvenceye sahip olduklarını belirtir. Şifrenizi sıfırlamak için, Dropbox size sıfırlama koduyla birlikte bir e-posta mesajı gönderir. Birinin dosyalarınıza erişmek için e-posta hesabınıza, şifrenize veya Dropbox'ı kurduğunuz bir bilgisayara erişmesi gerekir.

Daha fazla güvenlik istiyorsanız, dosyaları yüklemeden önce şifrelemek için TrueCrypt kullanabilirsiniz . Dosyaları ortak klasörünüze koymadığınız sürece, yine de güvende olmalısınız.

PS I gizli bilgi yüklemeden önce şirketinizin avukatları ile kontrol öneriyoruz hiçbir yerinde her ihtimale karşı.


4
Truecrypt için +1, dropbox güvenliğini iyi yapmış gibi görünürken, verileriniz hassassa şifrelenmemiş bir yere yüklememelisiniz .
Phoshi

3
500 MB truecrypt konteyner ile dropbox kullanıyorum. Harika: Oraya bir şey koyarsam, sadece değişiklikler senkronize edilir (sökmeden sonra!) --- bu zor değil, aynı zamanda önemsiz değil. Bazen bütün bir ikinci konteyner indirildiğinde bir çakışma dosyası alıyorum. İkisini birleştirip senkronize ettikten sonra bir tanesini siliyorum. Bu nedenle, daha sonra yeni başlayanlar için mükemmel bir araçtır.
towi

2
Dropbox'ın iyi bir güvenliği olduğuna katılmıyorum - şifreleme anahtarlarını istemcide tutmayı veya en azından şifrenizi şifrelemeyi gerektirir. Elbette bu, şifrenizi unutursanız dosyalarınıza erişme gibi özellikleri önler, ancak yine de güvenliklerinin en iyi olduğu anlamına gelir. Ticari olarak hassas bir bilgi vereceksem , kesinlikle bazı şifreleme şemaları kullanırdım ( her dosyayı ayrı ayrı şifreler çünkü daha az güvenli fakat daha kullanışlı olan bence).
André Paramés

@ André Bu tür bir güvenliğe ihtiyacınız varsa, bağlantıyı veya bağlantıyı deneyin . Bu hizmetler şifreleme anahtarlarınızı müşteri tarafında tutar, ancak SpiderOak size şifreyi verirseniz web erişimine izin verir (oturum boyunca yalnızca sunucu belleğinde tutmaya söz verir).
user775598

1
Gerçekten de iyi güvenliklere sahip görünüyorlardı . 19 Haziran’daki böcek bu yanılsamayı çözdü; hesabınızdaki her şeyi herkese açık düşünün.
Piskvor

13

Her şey, hangi seviyede "güvenli" olduğunuza bağlı olduğunuza bağlıdır. İşte dikkat etmeniz gereken birkaç nokta:

  • Dropbox'taki dosyaların tümü (veya bir kısmı) yerel olarak da depolanır. Dropbox'ınızın bölümlerini diğer makinelerde senkronize etmeyi seçebilirsiniz, ancak bir yerden makinelerinizin tam durumu var. Bunun anlamı, makineniz hiç kaybolursa, kızartılırsınız, çünkü bu bilgi şifrelenmemiş ya da güvenli değildir.
  • Dropbox sadece insanca mümkün olduğu kadar güvenli ve belki o kadar da güvenli değil. (Örnek olarak: Dropbox çalışanları içeriğinizi görebilir ve istenirse devlete devredeceklerdir. Bunu yapamadıklarını söylerlerdi ancak daha sonra ifadelerini değiştirdiler.)
  • Truecrypt, Dropbox ile birlikte kullanmak için harika. Bununla birlikte, TrueCrypt biriminizdeki herhangi bir dosya değiştiğinde, Dropbox'ın tek dosya güncellemelerini yapamayacağını unutmayın; tüm birimin yeniden açılması gerekir.
  • Nihayetinde bunların hepsi rahatlık seviyenize ve hem yaşadığınız ağlara hem de hizmete ve çalışanlarına ne kadar güvendiğinize bağlıdır.

Diğer cevapta olduğu gibi, önce şirketinizin avukatlarına danışın. % 100 güvenli olsalar bile, endişelenmeleri gereken başka bir yerde saklanmakta olan sırları saklamaktan hoşlanmayabilirler.


1
+1, esp çalışanlarının içeriğinizi görebildiğini belirtti . Bu önemlidir ve dosyaları şifrenizle şifreleyen, kendileri için bile okunamayan diğer dosya paylaşım servisleri olabilir.
Macke

2
Bir Dropbox ve TC kullanıcısı olarak, şifreli kabın içindeki bir değişimin kabın tamamını geri yükleyeceğini söylemenin tamamen doğru olmadığını anladım : şifrelenmemiş bir dosyaya göre daha büyük miktarda veri aktarılacak, ancak DB yalnızca şifreli bir dosya yüklüyor. Dosyanın değiştirilmiş kısımları - ve yeterince büyük TC kapları ile, şifrelenmiş birimdeki dosyalarda nispeten küçük değişiklikler kapsayıcının tamamen değişmesine neden olmaz (kabın değişikliklerinin bu dosyalar tarafından kullanılan kısımdan önemli ölçüde daha büyük bir kısmı). Teorik olarak bir yan kanal olmasına rağmen, transfer boyutunda yardımcı olur.
Piskvor

(örneğin: 500 MB'lık konteyner, 1 MB'lık dosya değiştir, bağlantıyı kes, Dropbox konteynerin yeniden endekslenmesini başlatır, sonra yaklaşık 50 MB aktarır.)
Piskvor

8

Dropbox'a yüklenen tüm dosyaları otomatik olarak şifrelemek için BoxCryptor'ı kullanabilirsiniz .


2
Yan kanalları not edin: dosya adları (ve uzantıları) görünür; zayıf parola ile bu, brütten daha hızlı çatlama yollarını açabilir (örneğin, çeşitli biçimlerin başlıkları iyi bilinmektedir, bu nedenle kısmen bilinen bir düz metin saldırısı). Çoğu insan için, bu gerçekleşmesi oldukça imkansız, ancak bunun farkında olmak güzel. (ama gerçekten temiz görünüyor, sıradan meraklılara karşı kesinlikle yeterince iyi; ayrıca platformlar arası desteğin de olduğuna dikkat edin)
Piskvor

@Piskvor: - En son sürüm dosya adlarını da şifreler.
Giorgi

Adil nokta - biraz arama yaptıktan sonra bloglarında bundan bahsettiklerini görüyorum; Sitenin kendisi bunu söylemiyor ve ekran görüntüleri görünüşe göre eski bir versiyondan.
Piskvor


4

Taslak bilimsel makalelerle ilgili olarak, çoğu araştırma kurumunun (üniversiteler / yüksekokullar dahil) çok katı veri depolama politikalarına sahip olduğunu ve evraklarınızı saha dışında saklamanın bu politikayı ihlal edebileceğini belirtmeliyim. Böyle bir şey yapmadan önce, lütfen kıdemli bir yönetici veya politikanın ne ifade ettiğini bilen biriyle görüşün, çünkü bu tür bir hata yaparsanız fonunuzu çekebilirsiniz.


2

Dropbox, gizlilik veya erişilebilirlik yönünden iyi bir güvenceye sahip değildir; bu nedenle verileriniz hassassa veya her zaman erişilebilir olması gerekiyorsa, kendiniz için bir şeyler yapmanız gerekir.

Gizlilik için şifreleyin: truecrypt dropbox ile iyi oynuyor

Kullanılabilirlik için birden fazla alternatife bakın.


2

Dropbox'a ne koyduysanız, bir gün halka açık olacağını kabul edin. Çünkü dün 4 saat boyunca olan şey buydu. Dropbox'ta herhangi bir şey saklamadan önce kendi şifreleme seçiminizi yapın.


1
+1 Yalnızca Dropbox'a değil, "bulutta" koyduğunuz her şeye ve her şeye uygulanır.
Piskvor

1

Bu InformationWeek makalesine bir okuma vermek isteyebilirsiniz . Bu, yineleme prosedürlerinden dolayı DropBox'la ilgili olası güvenlik ve gizlilik sorunları olduğunu iddia ediyor . DropBox sayaçları çalışanlarının kısıtlı olması, eğer kullanıcıların dosyalarına herhangi erişim, onlar bazı sorunlar dizildi, ancak onların izlemek için yetenek ve iz kullanıcıları ne yüklendi neyi ve onların raporlama hakkında var ve bu bir kaç ‘ihtiyacından’ olsa yetkililere politikalar. PGP kurucularındanpopüler şifreleme protokolü, DropBox hesabını silmiş ve onları dosyaları şifrelememekle suçlamaktadır (muhtemelen, DropBox'ın her bir kullanıcı için ayrı anahtarlar yerine nasıl bir genel anahtar kullandığını (elbette daha güvenli olacak) .

Beklendiği gibi, hepsi depolamak istediğiniz gerçek dosyalara ve sizin için ne kadar önemli olduklarına bağlı. Sonunda, eldeki bilgilere dayanarak kişisel bir görüşme yapmak zorundasın.


teşekkürler, dengede görünüyor, alışveriş listelerinin yanlış tarafında dolaşan basılı kopyalarımın çoğundan daha güvenli görünüyor.
Kirt

Kütüphane çıkış makbuzlarının arkasını kullanıyorum. :-)
Synetech

1

Oldukça güçlü bir parolaya sahip olduğum sürece, e-posta adresimi bilen birinin şifresini kırması muhtemel mi?

Öyle görünüyor şifrenizin tamamen alakasız (geçmişte, Dropbox vardır: Böyle bir yaygın kamuoyuna olay oldu , 2011-06-19 tarihinde resmi Dropbox burada yanıtını ), uzun bir süre için geçerli olarak herhangi bir şifre kabul - yani , herhangi biri sizin adınızı bilerek, sizin adınıza giriş yapmış olabilir .

Bu, güvenlik politikasında yapılan son değişikliğe ek olarak (temelde, "aksine, önceki ifadelerimize rağmen dosyalarınıza şimdi erişebiliriz" diyor) bir şey ifade ediyor:

HAYIR, bu dosyaların herkese açık olarak erişilmesinden daha güvenli değildir : Benzer şekilde büyük bir sorunun yarın tekrarlanmayacağına dair hiçbir garanti bulamıyorum ve sistemin mimarisi dosyalarınızı kendi başınıza koruyamıyor gibi görünüyor. (ve if(password_ok = 1)herhangi biri için ücretsiz erişim hakkı kazanması gibi harici korumaya güvenerek ).

Başka bir deyişle: görünüşte herhangi bir faydalı şifreleme yoktur (önceki istemlere rağmen), bu nedenle dosyaları açıktamış gibi ele almalısınız. Yani, orada hassas bir şey saklamayı planlıyorsanız, şifrelenmemiş olarak saklamayın : harici bir şifreleme sistemi kullanın (örneğin bir Truecrypt konteyner dosyası - Dropbox'ın wiki bile bu [sic!] ' İn kullanılmasını önerir ) ve kabı senkronize edin - şifreli sizin tarafınızda ve bu nedenle konteyner şifreniz olmadan (ki Dropbox'ta olmayan) okunamıyor; veya gerçek istemci tarafı şifrelemesi sağlayan farklı bir bulut senkronizasyon sağlayıcısı kullanın.


-1

Yok hayır!

Dropbox, verilerinizi ABD hükümetine devretmekle yükümlüdür, ne olursa olsun, üzerinizdeki Vatanseverlik Yasasını çağırmaya karar verirler. Gizlilik Dördüncü Değişiklik Hakkı geçerli değildir ve nerede 1986 Saklanan İletişim Yasası da vardır onlar bazı muhtemelen makul bir nedenle verilerinizi mahkemeye edebilirsiniz.

Verilerinizi şifreleseniz ve Dropbox'a koysanız bile, şansınız karanlık hükümetteki dost canlısı kişilerin gerçekten isterlerse verilerinizi okuyabilecek olmalarıdır. En son ve en büyük şifreleme düzeninden bağımsız olarak, gerçek hayatta WW2 Enigma kodlarını açan faktörler devreye giriyor - bilimsel makaleniz / iş teklifiniz / resimleriniz en son yüklediğiniz sırada aynı byte ile başlayacak, belki de 'Heil Hitler!' ancak yine de profesyonel kod kırıcıların özel anahtarınıza erişmeleri için yeterince yinelenen içerik.

Göletin ABD tarafından Vatanseverlik Yasası ile ilgili endişeleri gülünç görünebilir. Ancak, İngiltere'de, bu bilgiler tamamen zararsız olsa bile, örneğin bir müşteri veri tabanı gibi kişisel bilgilerin ABD sunucularında saklanmaması oldukça makul ve en iyi uygulama olarak kabul edilir. Zaman ve tekrar tekrar ABD casusluk ajansları güvenilmez olduklarını kanıtladılar, peki neden verilerinize kendileri tarafından erişilebilen şirketlerle güveniyorsunuz? Bazen, verileriniz değil, önemli olan ilkedir. Bu konuya verilen cevaplarda (bugüne kadar) söz edilmemiş olması beni hayal kırıklığına uğratıyor.


1
-1: Bu cevap, mevcut şifreleme tekniklerinin nasıl çalıştığının temel bir yanlış anlaşıldığını yansıtıyor. Hükümet büyük ve iyi finanse edilebilir, ancak matematiği kıramazlar. Enigma kodları zayıf bir kıyaslamadır, çünkü “güvenli oldukları düşünüldü” ancak modern algoritmalar (örn. Twofish, AES) olduğu gibi kesin olarak güvenli değildiler. Üstelik bu en büyük noktaya bakmıyor - neden ABD ile birlikte dünyadaki gizli bilgileri gizli olduğunu bildikleri bir algoritma ile şifreliyorlar? Mantıklı değil.
Billy ONeal

Hükümet PGP'yi 'Enigma' teknikleriyle kırdı. 2002’de New York Times’daydı - elimde atıfta bulunacağım ve katılımım olmadığından emin olamıyorum. Koltuk teorisi ile savaş pratiği arasında fark yaratan bir dünya var, ister WW2 ister TWAT olsun - Teröre Karşı Savaş. O zaman, PGP'nin gerekçelendirmek için X'in haklı olması için 'gayet iyi' den daha iyi olduğuna inanan birçok insan vardı, tüm amaç ve kırılmayacak amaçlar için. Teori ve pratik arasındaki kritik fark olan insan faktörünü görmezden geliyorsunuz. Şimdi bana batmaz bir Titanic sat.
ʍǝɥʇɐɯ

Bu aslında tamamen tartışmalı - Dropbox mahkeme celbi alırsa Kanun Yürütmeye uyduğunu belirtti. Açıkçası, şifreleme geri dönüşümlüdür; çevrimiçi arayüz üzerinden dosyalarınıza bu şekilde erişebilirsiniz. Bu cevabın işe yaramaz olmasının asıl nedeni, soru sorucunun amacını görmezden gelmesidir: hükümetin yazılarını görmesinden endişelenmiyor. O bir suçlu değil. Sadece küçük, biraz hassas şeyler, ama devlet sırları değil.
nhinkle

1
Benzetme yapmak gerekirse, ya Dropbox Çin'de yerleşikse? Bundan memnun olur musun? Saklayacak bir şeyin yoksa bile mi? Tabii ki !!! Öyle ya da olmasın Çin, 11 Eylül polis devleti ABD'ye kıyasla iyi huylu ve zararsızdır ABD, Fox News'in söylediğinin aksine, ABD hükümeti bin Ladin'i avlamak için yılda 80 milyar dolar harcamaz. 'Özel ve ticari iletişimi engellemek ve askeri iletişimi engellemek', 2001'deki Avrupa Parlamentosunun kararıydı. Sadece Airbus'a sor - açık olduktan sonra Boeing'e karşı ihale yaparken 'bulut'a' güvendiklerini sanmıyorum.
ʍǝɥʇɐɯ

1
... ve bugün sevgili Dropbox'ın dört saat boyunca kimsenin dosyalarında şifreleri yok. canım benim canım.
ʍǝɥʇɐɯ
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.