È sicuro conservare le informazioni semi-sensibili in Dropbox?


23

Non mi fiderei di Dropbox con i miei dati bancari e simili (perché ci sono molte persone che cercano quel tipo di informazioni), ma è sicuro conservare cose che potrebbero essere preziose per un piccolo numero di persone? Ad esempio informazioni commercialmente sensibili, bozze di articoli scientifici, fogli di risposta per valutazioni universitarie, tutor, ecc.

C'è qualcosa di rilevante nella stampa fine sulla privacy o sulla proprietà delle informazioni memorizzate che potrei aver perso?

Finché avrò una password ragionevolmente sicura, è probabile che qualcuno che sappia che il mio indirizzo e-mail sia in grado di hackerarlo?


7
Molto on-topic per security.stackexchange.com
Rory Alsop,

Un sacco di approfondimenti in questo post sul blog di Miguel de Icaza: tirania.org/blog/archive/2011/Apr-19.html
Vincent Buck,

Risposte:


29

I Termini di servizio di Dropbox affermano che non rivendicano i diritti di proprietà e sembrano avere una buona sicurezza. Per ripristinare la password, Dropbox ti invia un messaggio di posta elettronica con un codice di ripristino. Qualcuno avrebbe bisogno di accedere al tuo account di posta elettronica, password o computer su cui hai impostato Dropbox per accedere ai tuoi file.

Se si desidera maggiore sicurezza, è possibile utilizzare TrueCrypt per crittografare i file prima di caricarli. Finché non metti i file nella tua cartella pubblica, dovresti comunque essere al sicuro.

PS Ti consiglio di consultare gli avvocati della tua azienda prima di caricare informazioni segrete ovunque , per ogni evenienza.


4
+1 per TrueCrypt, mentre Dropbox sembra avere una buona sicurezza, se i tuoi dati sono sensibili non dovresti caricarli ovunque non crittografati.
Foshi,

3
Uso dropbox con un contenitore TrueCrypt da 500 MB. È fantastico: se inserisco qualcosa, solo le modifiche vengono sincronizzate (dopo lo smontaggio!) --- non è difficile, ma non è nemmeno banale. A volte ricevo un file di conflitto, quando viene scaricato un intero secondo contenitore. Dopo averli montati e sincronizzati, ne elimino uno. Pertanto, per un utente non esperto, uno strumento perfetto.
towi,

2
Non sono d'accordo sul fatto che Dropbox abbia una buona sicurezza, che richiederebbe di conservare le chiavi di crittografia sul client o, almeno, di crittografarle con la password. Naturalmente, ciò impedirebbe funzionalità come l'accesso ai file se si dimentica la password, ma significa comunque che la loro sicurezza è al massimo "decente". Userei definitivamente alcuni schemi di crittografia (uso encfs perché crittografa ogni file separatamente, che è meno sicuro ma più conveniente, secondo me) se dovessi inserire informazioni commercialmente sensibili.
André Paramés,

@ André Se hai bisogno di quel tipo di sicurezza, prova link o link . Questi servizi mantengono le tue chiavi di crittografia sul lato client, anche se SpiderOak ti consentirà l'accesso al web se gli dai la password (promettono di conservarlo nella memoria del server per tutta la durata della sessione).
user775598,

1
Sembravano davvero avere una buona sicurezza. L'errore del 19 giugno ha sciolto questa illusione; considera tutto nel tuo account pubblico.
Piskvor,

13

Tutto dipende dal livello di "sicurezza" con cui ti senti a tuo agio. Ecco alcuni punti da considerare:

  • Tutti (o una parte di) i file in Dropbox sono anche memorizzati localmente. Puoi scegliere di sincronizzare parti del tuo dropbox su altri computer, ma uno dei tuoi computer da qualche parte ha lo stato completo. Ciò significa che se la tua macchina viene mai persa, sei brindisi, perché tali informazioni non sono crittografate o sicure.
  • Dropbox è il più sicuro possibile dal punto di vista umano, e forse nemmeno così tanto. (Ad esempio: i dipendenti di Dropbox possono vedere i tuoi contenuti e li consegneranno al governo, se richiesto. Dicevano che non potevano farlo, ma in seguito hanno cambiato la loro dichiarazione.)
  • TrueCrypt è ottimo da usare in combinazione con Dropbox. Nota, tuttavia, che Dropbox non sarà in grado di eseguire aggiornamenti a file singolo quando qualsiasi file nel tuo volume TrueCrypt cambia: l'intero volume dovrà essere di nuovo sottoposto a push up.
  • In definitiva, tutto dipende dal tuo livello di comfort e da quanto ti fidi sia delle reti su cui vivi sia del servizio e dei suoi dipendenti.

Come nell'altra risposta, verifica prima con gli avvocati della tua azienda. Anche se fosse sicuro al 100%, potrebbe non piacere che i segreti vengano archiviati in un altro posto di cui devono preoccuparsi.


1
+1, specialmente per indicare che i dipendenti di Dropbox possono vedere i tuoi contenuti . Questo è importante e potrebbero esserci altri servizi di condivisione di file che crittografano i file con la tua password, rendendoli illeggibili anche a se stessi.
Macke,

2
Come utente Dropbox e TC, ho scoperto che non è del tutto corretto dire che un cambiamento all'interno del contenitore cifrato sarà ricaricare l'intero contenitore: ci sarà una maggiore quantità di dati trasferiti che con un file criptato, ma DB carica solo parti modificate del file - e con contenitori TC sufficientemente grandi, modifiche relativamente piccole nei file sul volume crittografato non comporteranno la modifica dell'intero contenitore (una parte significativamente più grande del contenitore cambia rispetto alla parte occupata da tali file). Sebbene teoricamente un canale laterale, aiuta con le dimensioni di trasferimento.
Piskvor,

(ad esempio: contenitore da 500 MB, modifica 1 MB di file, smontaggio, Dropbox inizia a reindicizzare il contenitore, quindi trasferisce circa 50 MB)
Piskvor,

8

È possibile utilizzare BoxCryptor per crittografare automaticamente tutti i file caricati su Dropbox.


2
Nota i canali laterali: i nomi dei file (e le estensioni) sono visibili; con una password debole, questo può aprire vie di cracking più veloce della forza bruta (ad esempio, le intestazioni di vari formati sono ben note, quindi un attacco in chiaro di testo parzialmente noto). Per la maggior parte delle persone, questo è abbastanza improbabile, ma è bene esserne consapevoli. (ma sembra davvero pulito, decisamente abbastanza buono contro i ficcanaso casuali; nota anche che c'è il supporto multipiattaforma)
Piskvor,

@Piskvor: - l'ultima versione crittografa anche i nomi dei file.
Giorgi,

Punto giusto: dopo un po 'di ricerca, vedo che lo stanno citando sul loro blog; il sito stesso non lo dice e apparentemente gli screenshot sono di una versione precedente.
Piskvor,


4

Devo notare che, per quanto riguarda i progetti di articoli scientifici, la maggior parte degli istituti di ricerca (università / college inclusi) ha politiche di conservazione dei dati molto rigide e che archiviare i documenti fuori sede è probabilmente una violazione di tale politica. Prima di fare qualsiasi cosa del genere, ti preghiamo di verificare con un amministratore senior o qualcuno che sa cosa afferma tale politica, perché potresti potenzialmente ottenere i tuoi finanziamenti se commetti questo tipo di errore.


2

Dropbox non ha una buona sicurezza né in termini di riservatezza né di disponibilità, quindi se i tuoi dati sono sensibili o devono essere disponibili in qualsiasi momento devi fare qualcosa al riguardo.

Per riservatezza, crittografalo: TrueCrypt funziona bene con Dropbox

Per la disponibilità, guarda più alternative.


2

Qualunque cosa tu abbia messo su Dropbox, supponi che un giorno sarà esposto al pubblico. Perché è quello che è successo realmente per 4 ore ieri. Applica la tua scelta di crittografia prima di archiviare qualsiasi cosa su Dropbox.


1
+1 Si applica a qualsiasi cosa e tutto il resto che stai mettendo "nel cloud", non solo Dropbox.
Piskvor,

1

Potresti voler leggere questo articolo di InformationWeek . Riferisce che ci sono state accuse di - potenziali - problemi di sicurezza e privacy con DropBox a causa delle loro procedure di de-duplicazione. DropBox ribatte che i loro dipendenti hanno limitato, se del caso, l'accesso ai file degli utenti, anche se alcuni hanno "bisogno", e che hanno risolto alcuni problemi, ma non sulla loro capacità di tracciare e rintracciare ciò che gli utenti hanno caricato cosa e i loro rapporti politiche alle autorità. Il co-fondatore di PGP, il popolare protocollo di crittografia, ha eliminato il suo account DropBox e li accusa di non aver effettivamente crittografato i file (anche se probabilmente sta parlando di come DropBox utilizza una chiave globale anziché chiavi separate per ciascun utente, il che ovviamente sarebbe molto più sicuro) .

Non sorprende che tutto dipenda dai file che desideri archiviare e da quanto siano importanti per te. Alla fine, devi effettuare un giudizio personale basato sulle informazioni a portata di mano.


grazie, a conti fatti è più sicuro della maggior parte delle mie copie cartacee che galleggiano sul lato sbagliato delle liste della spesa e così via.
Kirt,

Uso il retro delle ricevute di pagamento della biblioteca. :-)
Synetech,

1

Finché avrò una password ragionevolmente sicura, è probabile che qualcuno che sappia che il mio indirizzo e-mail sia in grado di hackerarlo?

Sembra che la tua password sia completamente irrilevante : Dropbox ha, in passato ( un incidente così ampiamente pubblicizzato accaduto il 19/06/2011, la risposta ufficiale di Dropbox qui ), aver accettato qualsiasi password valida, per un lungo periodo di tempo - vale a dire , chiunque avrebbe potuto accedere come te, conoscendo solo il tuo nome utente .

Questo, oltre al recente cambiamento nella politica di sicurezza (che dice, essenzialmente, "ora possiamo accedere ai tuoi file, nonostante le nostre precedenti dichiarazioni contrarie"), significa una cosa:

No, non è più sicuro che avere quei file accessibili pubblicamente : non riesco a trovare alcun tipo di garanzia che un problema simile non si ripeta domani, e l'architettura del sistema non sembra proteggere i tuoi file da sola (e affidandoti a una protezione esterna, come if(password_ok = 1)ottenere l'accesso gratuito a chiunque).

In altre parole: apparentemente non esiste alcuna crittografia utile in atto (nonostante le precedenti affermazioni), quindi dovresti trattare i file come se fossero all'aperto. Quindi, se hai intenzione di archiviare qualcosa di sensibile lì, non archiviarlo non crittografato : usa un sistema di crittografia esterno (ad esempio un file contenitore Truecrypt - anche il wiki di Dropbox suggerisce di usare quel [sic!]) E sincronizza il contenitore - è crittografato dalla tua parte, e quindi illeggibile senza la password del tuo contenitore (che Dropbox non ha); o utilizzare un altro provider di sincronizzazione cloud che fornisca la crittografia lato client effettiva.


-1

No!

Dropbox è obbligato a consegnare i tuoi dati al governo degli Stati Uniti qualora decidessero di invocare il Patriot Act su di te per qualsiasi motivo. C'è anche il 1986 Stored Communications Act dove Quarto Emendamento diritto alla privacy non si applicano e si può citare in giudizio i dati per qualche motivo forse ragionevole.

Anche se crittograferai i tuoi dati e li pubblichi su Dropbox, è probabile che quelle persone amichevoli del governo oscuro saranno in grado di leggere i tuoi dati se lo desiderano davvero. Indipendentemente dall'ultimo e più grande schema di crittografia, nella vita reale entrano in gioco gli stessi fattori che hanno aperto i codici Enigma della Seconda Guerra Mondiale: il tuo documento scientifico / proposta commerciale / immagini inizierà con gli stessi byte dell'ultima volta che li hai caricati, forse no "Heil Hitler!" ma comunque abbastanza contenuto duplicato per i cracker di codice pro per arrivare alla tua chiave privata.

Da parte degli Stati Uniti, le preoccupazioni riguardo al Patriot Act possono sembrare ridicole. Tuttavia, nel Regno Unito, è abbastanza ragionevole e considerato la migliore prassi non archiviare informazioni personali sui server statunitensi anche se tali informazioni sono completamente innocue, ad esempio un database dei clienti. Di volta in volta le agenzie di spionaggio statunitensi si sono dimostrate inaffidabili, quindi perché affidare i tuoi dati a società accessibili da loro? A volte è il principio che conta, non i tuoi dati. Mi delude che ciò non sia stato menzionato nelle risposte fornite in questo thread (ad oggi).


1
-1: questa risposta riflette un malinteso fondamentale sul funzionamento delle attuali tecniche di crittografia. Il governo può essere grande e ben finanziato, ma non può rompere la matematica. I codici Enigma sono un paragone povero perché erano "ritenuti" sicuri, ma non erano dimostrabilmente sicuri, come lo sono gli algoritmi moderni (ad esempio Twofish, AES). Inoltre, questo trascura il punto più importante: perché mai gli Stati Uniti crittografano i propri dati top secret con un algoritmo che sapevano essere rotto? Non ha senso.
Billy ONeal,

Il governo ha rotto PGP con tecniche "Enigma". Questo è stato nel New York Times nel 2002 - Non ho la citazione a portata di mano e non posso affermare con certezza che non ero coinvolto. Esiste un mondo di differenze tra la teoria della poltrona e la pratica del tempo di guerra, che si tratti della seconda guerra mondiale o di TWAT - The War Against Terror. All'epoca c'erano molte persone che credevano che PGP fosse migliore di "abbastanza buono" per la giustificazione X, a tutti gli effetti indistruttibile. Trascuri il fattore umano che è la differenza cruciale tra teoria e pratica. Ora vendimi un Titanic inaffondabile.
ʍǝɥʇɐɯ

Questo è in realtà del tutto discutibile - Dropbox ha dichiarato di essere conforme alle forze dell'ordine se ricevono una citazione. Ovviamente la loro crittografia è reversibile; è così che puoi accedere ai tuoi file attraverso l'interfaccia online. Il vero motivo per cui questa risposta non è utile è perché ignora la domanda di chi chiede: non è preoccupato che il governo veda i suoi documenti. Non è un criminale. Sono solo alcune cose minori, un po 'sensibili, ma non segreti di stato.
nhinkle

1
Per analogia, cosa succederebbe se Dropbox fosse basato in Cina? Ne saresti felice? Anche se non avessi nulla da nascondere? Certo che lo faresti !!! Piaccia o no, la Cina è benigna e innocua rispetto allo stato di polizia post 11 settembre USA Contrariamente a quanto afferma Fox News, il governo degli Stati Uniti non spende $ 80 miliardi all'anno a caccia di Bin Laden. "Intercettare le comunicazioni private e commerciali e non le comunicazioni militari" è stato il verdetto del Parlamento europeo nel 2001. Basta chiedere ad Airbus - dopo essere stato preso di mira, dubito che si fidino di "il cloud" quando fanno offerte contro Boeing.
ʍǝɥʇɐɯ

1
... e quindi oggi l'amato Dropbox non ha password sui file di nessuno per quattro ore. caro oh caro.
ʍǝɥʇɐɯ
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.