É seguro manter informações semi-sensíveis no Dropbox?

23

Eu não confiava no Dropbox com os meus dados bancários e coisas do tipo (porque muitas pessoas procuram esse tipo de informação), mas é seguro guardar coisas que possam ser valiosas para um pequeno número de pessoas? Por exemplo, informações comercialmente sensíveis, rascunhos de artigos científicos, folhas de respostas para avaliações em universidades que dou aulas etc.

Existe alguma coisa relevante nas letras miúdas sobre privacidade ou propriedade das informações armazenadas que eu possa ter perdido?

Desde que eu tenha uma senha razoavelmente forte, é provável que alguém que saiba meu endereço de e-mail possa hackear?

security dropbox privacy Kirt
fonte
7
Muito tópico sobre security.stackexchange.com
Rory Alsop
Muitos insights nesta postagem de blog de Miguel de Icaza: tirania.org/blog/archive/2011/Apr-19.html
Vincent Buck

Respostas:

29

Os Termos de Serviço do Dropbox declaram que não reivindicam direitos de propriedade e parecem ter boa segurança. Para redefinir sua senha, o Dropbox envia uma mensagem de e-mail com um código de redefinição. Alguém precisaria acessar sua conta de email, sua senha ou um computador em que você configurou o Dropbox para acessar seus arquivos.

Se você deseja mais segurança, pode usar o TrueCrypt para criptografar arquivos antes de enviá-los. Contanto que você não coloque arquivos em sua pasta pública, você estará seguro de qualquer maneira.

PS: Recomendo consultar os advogados da sua empresa antes de enviar informações secretas para qualquer lugar , apenas por precaução.

user775598
fonte
4
+1 para o truecrypt, enquanto o dropbox parece ter uma boa segurança, se seus dados forem confidenciais, você não deverá enviá-los para lugar nenhum criptografado.
Phoshi 30/05
3
Eu uso o dropbox com um contêiner truecrypt de 500 MB. É ótimo: se eu colocar algo lá, apenas as alterações são sincronizadas (após a desmontagem!) --- isso não é difícil, mas também não é trivial. Às vezes, recebo um arquivo de conflito, quando um segundo contêiner é baixado. Depois de montar os dois e sincronizá-los, excluo um deles. Portanto, para um usuário mais novato, é uma ferramenta perfeita.
towi
2
Não concordo que o Dropbox tenha boa segurança - isso exigiria manter as chaves de criptografia no cliente ou, no mínimo, criptografá-las com sua senha. Obviamente, isso impediria recursos como acessar seus arquivos se você esquecer sua senha, mas ainda significa que a segurança deles é no máximo "decente". Eu usaria definitivamente algum esquema de criptografia (eu uso encfs porque criptografa cada arquivo separadamente, o que é menos seguro, mas mais conveniente, na minha opinião) se eu colocasse informações comercialmente confidenciais.
André Paramés
@ André Se você precisar desse tipo de segurança, tente link ou link . Esses serviços mantêm suas chaves de criptografia do lado do cliente, embora o SpiderOak permita acesso à Web se você der a senha (eles prometem mantê-lo apenas na memória do servidor durante a sessão).
User775598
1
Eles realmente pareciam ter boa segurança. O bug de 19 de junho dissolveu essa ilusão; considere tudo em sua conta como público.
Piskvor
13

Tudo depende de qual nível de "segurança" você se sente confortável. Aqui estão alguns pontos a considerar:

  • Todos (ou parte dos) arquivos no Dropbox também são armazenados localmente. Você pode optar por sincronizar partes da sua caixa de depósito em outras máquinas, mas uma delas em algum lugar tem o estado completo. Isso significa que, se sua máquina estiver perdida, você estará brindando, porque essas informações não são criptografadas ou seguras.
  • O Dropbox é tão seguro quanto humanamente possível, e talvez nem tanto. (Como exemplo: os funcionários do Dropbox podem ver seu conteúdo e entregá-lo ao governo, se solicitado. Eles costumavam dizer que não podiam fazer isso, mas depois mudaram sua declaração.)
  • O Truecrypt é ótimo para usar em conjunto com o Dropbox. Observe, no entanto, que o Dropbox não poderá fazer atualizações em um único arquivo quando qualquer arquivo no volume TrueCrypt for alterado - o volume inteiro precisará ser aumentado novamente.
  • Em última análise, tudo depende do seu nível de conforto e do quanto você confia nas redes em que vive e no serviço e em seus funcionários.

Como na outra resposta, verifique primeiro com os advogados da sua empresa. Mesmo que fosse 100% seguro, eles podem não gostar de guardar segredos em outro local com o qual precisam se preocupar.

Kerri Shotts
fonte
1
+1, especialmente por indicar que os funcionários da caixa de depósito podem ver seu conteúdo . Isso é importante e pode haver outros serviços de compartilhamento de arquivos que criptografam arquivos com sua senha, tornando-os ilegíveis até para si mesmos.
Macke 30/05
2
Como um usuário Dropbox e TC, eu descobri que não é inteiramente correto dizer que uma mudança dentro do recipiente criptografado vai reupload todo o recipiente: haverá uma maior quantidade de dados transferidos do que com um arquivo não criptografado, mas DB única carrega o partes alteradas do arquivo - e com contêineres TC suficientemente grandes, alterações relativamente pequenas nos arquivos no volume criptografado não resultarão na alteração de todo o contêiner (uma parte significativamente maior do contêiner é alterada do que a parte ocupada por esses arquivos). Embora teoricamente seja um canal lateral, ajuda no tamanho da transferência.
Piskvor
(por exemplo: 500 recipiente MB, variação de 1 MB de arquivos, desmonte, Dropbox começa re-indexar o recipiente, em seguida, transferências Appx 50 MB.)
Piskvor
8

Você pode usar o BoxCryptor para criptografar automaticamente todos os arquivos enviados para o Dropbox.

Giorgi
fonte
2
Observe os canais laterais: nomes de arquivos (e extensões) são visíveis; com senha fraca, isso pode abrir avenidas de cracking mais rápido que a força bruta (por exemplo, cabeçalhos de vários formatos são bem conhecidos, portanto, um ataque de texto simples parcialmente conhecido). Para a maioria das pessoas, é improvável que isso aconteça, mas é bom estar ciente disso. (mas, de fato, olhar puro, definitivamente bom o suficiente contra bisbilhoteiros casuais; nota também que não há suporte multi-plataforma)
Piskvor
@Piskvor: - a versão mais recente também criptografa os nomes dos arquivos.
Giorgi 30/05
Ponto justo - depois de um pouco de pesquisa, vejo que eles estão mencionando isso em seu blog; o site em si não diz isso, e as capturas de tela são aparentemente de uma versão mais antiga.
Piskvor
6

Eu recomendo o KeePass (Classic Edition) para armazenar coisas como senhas ou informações de cartão de crédito. É leve e suportado em praticamente qualquer plataforma (por meio de Portas e Construções KeePass Contribuídas / Não Oficiais). A criptografia é Rijndael (AES) .

(Eu não sou afiliado)

oleschri
fonte
4

Devo observar que, em relação aos rascunhos de artigos científicos, a maioria das instituições de pesquisa (universidades / faculdades incluídas) possui políticas muito rígidas de armazenamento de dados, e o armazenamento de seus documentos fora do local provavelmente será uma violação dessa política. Antes de fazer algo assim, verifique com um administrador sênior ou alguém que saiba o que essa política determina, porque você pode potencialmente ter seu financiamento retirado se cometer esse tipo de erro.

Lukasa
fonte
2

O Dropbox não possui boa segurança nos aspectos de confidencialidade ou disponibilidade; portanto, se seus dados são sensíveis ou precisam estar disponíveis o tempo todo, você mesmo precisa fazer algo a respeito.

Para confidencialidade, criptografe-o: o truecrypt funciona bem com o dropbox

Para disponibilidade, consulte várias alternativas.

Rory Alsop
fonte
2

Tudo o que você colocar no Dropbox, suponha que ele seja exposto ao público algum dia. Porque foi isso que aconteceu durante 4 horas ontem. Aplique sua própria opção de criptografia antes de armazenar qualquer coisa no Dropbox.

Mike Rowave
fonte
1
+1 Aplica-se a tudo e qualquer outra coisa que você está colocando "na nuvem", não apenas no Dropbox.
Piskvor
1

Você pode ler este artigo da InformationWeek . Ele relata que houve acusações de possíveis problemas de segurança e privacidade no DropBox devido a seus procedimentos de deduplicação. O DropBox afirma que seus funcionários têm acesso limitado, se houver algum, aos arquivos dos usuários, apesar de alguns "precisarem", e que eles resolveram alguns problemas, mas não sobre a capacidade de rastrear e rastrear quais usuários carregaram o que e seus relatórios políticas às autoridades. O co-fundador do PGP, o protocolo de criptografia popular, excluiu sua conta do DropBox e os acusa de não criptografar os arquivos (embora ele provavelmente esteja falando sobre como o DropBox usa uma chave global em vez de chaves separadas para cada usuário - o que obviamente seria muito mais seguro) .

Não surpreendentemente, tudo se resume aos arquivos reais que você deseja armazenar e à importância que eles têm para você. No final, você deve fazer uma chamada de julgamento pessoal com base nas informações disponíveis.

Synetech
fonte
obrigado, no geral, parece mais seguro do que a maioria das minhas cópias impressas flutuando no lado errado das listas de compras e coisas do tipo.
Kirt
Uso a parte de trás dos recibos de check-out da biblioteca. :-)
Synetech
1

Desde que eu tenha uma senha razoavelmente forte, é provável que alguém que saiba meu endereço de e-mail possa hackear?

Parece que sua senha é completamente irrelevante : Dropbox tem, no passado ( tal amplamente divulgado incidente aconteceu em 2011-06-19, oficial Dropbox resposta aqui ), aceitou qualquer senha como válido, por um longo período de tempo - que é , qualquer um poderia ter feito login como você, apenas sabendo seu nome de usuário .

Isso, além da recente mudança na política de segurança (que diz, essencialmente, "podemos acessar seus arquivos agora, apesar das declarações anteriores em contrário"), significa uma coisa:

NÃO, não é mais seguro do que ter esses arquivos acessíveis ao público : não consigo encontrar nenhum tipo de garantia de que um problema igualmente grande não ocorra novamente amanhã, e a arquitetura do sistema não parece proteger seus arquivos por si só (e depender de proteção externa, como if(password_ok = 1)você obtém acesso gratuito a qualquer pessoa).

Em outras palavras: aparentemente não há nenhuma criptografia útil em vigor (apesar das reivindicações anteriores), portanto, você deve tratar os arquivos como se eles estivessem abertos. Portanto, se você planeja armazenar qualquer coisa sensível lá, não a armazene sem criptografia : use algum sistema externo de criptografia (por exemplo, um arquivo de contêiner Truecrypt - até o wiki do Dropbox sugere usar isso [sic!]) E sincronize o contêiner - ele é criptografado do seu lado e, portanto, ilegível sem a senha do seu contêiner (que o Dropbox não possui); ou use um provedor de sincronização em nuvem diferente que forneça criptografia real do lado do cliente.

Piskvor
fonte
-1

Não!

O Dropbox é obrigado a entregar seus dados ao governo dos EUA, caso eles decidam invocar a Lei do Patriota por qualquer motivo. Existe também a Lei de Comunicações Armazenadas de 1986, na qual os Direitos da Quarta Emenda à privacidade não se aplicam e eles podem intimar seus dados por algum motivo possivelmente razoável.

Mesmo se você criptografar seus dados e colocá-los no Dropbox, é provável que essas pessoas amigáveis ​​no governo negro possam ler seus dados se realmente quiserem. Independentemente do esquema de criptografia mais recente e melhor, na vida real, os mesmos fatores que abriram os códigos Enigma da Segunda Guerra Mundial - seu artigo científico / proposta de negócio / fotos começará com os mesmos bytes da última vez que você os carregou, talvez não Heil Hitler! mas, no entanto, conteúdo duplicado suficiente para que os profissionais de crackers de código acessem sua chave privada.

Do lado americano da lagoa, as preocupações com o Patriot Act podem parecer ridículas. No entanto, no Reino Unido, é bastante razoável e considerado uma boa prática não armazenar informações pessoais em servidores dos EUA, mesmo que essas informações sejam completamente inofensivas, por exemplo, um banco de dados de clientes. Repetidas vezes, as agências de espionagem dos EUA não se mostraram confiáveis, então por que confiar seus dados em empresas acessíveis por elas? Às vezes, é o princípio que importa, não seus dados. Decepciona-me que isso não tenha sido mencionado nas respostas fornecidas neste tópico (até o momento).

ʍǝɥʇɐɯ
fonte
1
-1: Esta resposta reflete um mal-entendido fundamental de como as técnicas de criptografia atuais operam. O governo pode ser grande e bem financiado, mas não pode quebrar a matemática. Os códigos Enigma são uma comparação ruim porque eles "pensavam ser" seguros, mas não eram comprovadamente seguros, como são os algoritmos modernos (por exemplo, Twofish, AES). Além disso, isso ignora o ponto principal - por que diabos os EUA criptografam seus próprios dados extremamente secretos com um algoritmo que eles sabiam estar quebrado? Não faz sentido.
precisa
O governo quebrou o PGP com técnicas 'Enigma'. Isso foi no New York Times em 2002 - não tenho a citação em mãos e não posso afirmar com certeza que não tive envolvimento. Há um mundo de diferença entre a teoria da poltrona e a prática em tempo de guerra, seja na Segunda Guerra Mundial ou na TWAT - The War Against Terror. Na época, havia muitas pessoas que acreditavam que o PGP era melhor do que "muito bom" para a justificativa X, para todos os efeitos e inquebráveis. Você ignora o fator humano, que é a diferença crucial entre teoria e prática. Agora me venda um Titanic inafundável.
ʍǝɥʇɐɯ
Na verdade, isso é totalmente discutível - o Dropbox declarou que eles cumprem a aplicação da lei se receberem uma intimação. Obviamente, sua criptografia é reversível; é assim que você pode acessar seus arquivos através da interface online. A verdadeira razão pela qual essa resposta não é útil é porque ignora o ponto de pergunta: ele não está preocupado com o governo ver seus documentos. Ele não é um criminoso. São apenas algumas coisas menores, um tanto sensíveis, mas não segredos de estado.
Nhinkle
1
Por analogia, e se o Dropbox fosse baseado na China? Você ficaria feliz com isso? Mesmo se você não tivesse nada a esconder? Claro que você faria !!! Goste ou não, a China é benigna e inofensiva em comparação com o estado policial do 11 de setembro nos EUA. Ao contrário do que a Fox News diz, o governo dos EUA não gasta US $ 80 bilhões por ano caçando Bin Laden. Interceptar comunicações privadas e comerciais, e não comunicações militares, foi o veredicto do Parlamento Europeu em 2001. Basta perguntar à Airbus - depois de ser criticado, duvido que confiem na 'nuvem' ao fazer um concurso contra a Boeing.
ʍǝɥʇɐɯ
1
... e hoje o amado Dropbox não tem senhas nos arquivos de ninguém por quatro horas. querido oh querido.
ʍǝɥʇɐɯ