Apakah aman untuk menyimpan informasi semi sensitif di Dropbox?

23

Saya tidak akan mempercayai Dropbox dengan detail bank saya dan semacamnya (karena ada banyak orang yang mencari informasi semacam itu), tetapi apakah aman untuk menyimpan hal-hal yang mungkin berharga bagi sejumlah kecil orang? Misalnya informasi yang sensitif secara komersial, draft makalah ilmiah, lembar jawaban untuk penilaian universitas yang saya tutor dll

Apakah ada yang relevan dalam cetakan kecil tentang privasi atau kepemilikan informasi yang disimpan yang mungkin saya lewatkan?

Selama saya memiliki kata sandi yang cukup kuat, mungkinkah seseorang yang mengetahui alamat email saya bisa meretasnya?

security dropbox privacy Kirt
sumber
7
Sangat sesuai topik untuk security.stackexchange.com
Rory Alsop
Banyak wawasan dalam posting blog ini oleh Miguel de Icaza: tirania.org/blog/archive/2011/Apr-19.html
Vincent Buck

Jawaban:

29

Ketentuan Layanan Dropbox menyatakan bahwa mereka tidak mengklaim hak kepemilikan, dan mereka tampaknya memiliki keamanan yang baik. Untuk mengatur ulang kata sandi Anda, Dropbox mengirimi Anda pesan email dengan kode setel ulang. Seseorang akan memerlukan akses ke akun email Anda, kata sandi Anda atau komputer yang telah Anda setel Dropbox untuk mengakses file Anda.

Jika Anda menginginkan keamanan lebih, Anda dapat menggunakan TrueCrypt untuk mengenkripsi file sebelum mengunggahnya. Selama Anda tidak meletakkan file di folder publik Anda, Anda tetap aman.

PS Saya sarankan untuk memeriksa dengan pengacara perusahaan Anda sebelum mengunggah informasi rahasia di mana saja , untuk berjaga-jaga.

pengguna775598
sumber
4
+1 untuk truecrypt, sementara dropbox tampaknya memiliki keamanan yang dilakukan dengan baik, jika data Anda sensitif Anda tidak boleh mengunggahnya di tempat yang tidak terenkripsi.
Phoshi
3
Saya menggunakan dropbox dengan wadah truecrypt 500MB. Sangat bagus: Jika saya meletakkan sesuatu di sana, hanya perubahan yang disinkronkan (setelah di-unmount!) --- itu tidak sulit, tetapi juga tidak sepele. Kadang-kadang saya mendapatkan file konflik, ketika seluruh wadah kedua diunduh. Setelah memasang keduanya dan menyinkronkannya, saya menghapus salah satunya. Oleh karena itu, bagi pengguna pemula yang lebih baru maka alat yang sempurna.
towi
2
Saya tidak setuju bahwa Dropbox memiliki keamanan yang baik - yang akan memerlukan menjaga kunci enkripsi pada klien atau, paling tidak, mengenkripsi mereka dengan kata sandi Anda. Tentu saja, ini akan mencegah fitur seperti mengakses file Anda jika Anda lupa kata sandi Anda, tetapi itu tetap berarti bahwa keamanan mereka paling "layak". Saya pasti akan menggunakan beberapa skema enkripsi (saya menggunakan encfs karena mengenkripsi setiap file secara terpisah, yang kurang aman tetapi lebih nyaman, menurut pendapat saya) jika saya ingin memasukkan informasi sensitif secara komersial.
André Paramés
@ André Jika Anda membutuhkan keamanan semacam itu, coba tautan atau tautan . Layanan ini menjaga kunci enkripsi Anda di sisi klien, meskipun SpiderOak akan memungkinkan Anda mengakses web jika Anda memberikan kata sandi (mereka berjanji untuk hanya menyimpannya di memori server selama sesi berlangsung).
user775598
1
Mereka memang tampaknya memiliki keamanan yang baik. Bug 19 Juni telah membubarkan ilusi ini; pertimbangkan semua yang ada di akun Anda untuk publik.
Piskvor
13

Itu semua tergantung pada tingkat "aman" apa yang nyaman bagi Anda. Berikut beberapa hal yang perlu dipertimbangkan:

  • Semua (atau sebagian dari) file di Dropbox juga disimpan secara lokal. Anda dapat memilih untuk menyinkronkan bagian dari dropbox Anda di komputer lain tetapi salah satu mesin Anda di suatu tempat memiliki status penuh. Ini berarti bahwa jika mesin Anda hilang, Anda bersulang, karena informasi itu tidak dienkripsi atau aman.
  • Dropbox hanya seaman mungkin secara manusiawi, dan mungkin bahkan tidak sebanyak itu. (Sebagai contoh: Karyawan Dropbox dapat melihat konten Anda dan akan menyerahkannya kepada pemerintah jika diminta. Mereka dulu mengatakan mereka tidak bisa melakukan ini, tetapi mereka kemudian mengubah pernyataan mereka.)
  • Truecrypt sangat bagus untuk digunakan bersama dengan Dropbox. Namun, perlu diketahui bahwa Dropbox tidak akan dapat melakukan pembaruan satu file ketika file apa pun di volume TrueCrypt Anda berubah - seluruh volume harus didorong lagi.
  • Pada akhirnya itu semua tergantung pada tingkat kenyamanan Anda dan seberapa besar Anda mempercayai jaringan tempat Anda tinggal dan layanan serta karyawannya.

Seperti pada jawaban lain, tanyakan terlebih dahulu kepada pengacara perusahaan Anda. Bahkan jika itu 100% aman, mereka mungkin tidak suka menyimpan rahasia di tempat lain yang harus mereka khawatirkan.

Kerri Shotts
sumber
1
+1, esp untuk menyatakan bahwa karyawan dropbox dapat melihat konten Anda . Ini penting, dan mungkin ada layanan berbagi file lain yang mengenkripsi file dengan kata sandi Anda, menjadikannya tidak dapat dibaca bahkan oleh mereka sendiri.
Macke
2
Sebagai pengguna Dropbox dan TC, saya menemukan bahwa tidak sepenuhnya benar untuk mengatakan bahwa perubahan di dalam wadah terenkripsi akan memuat ulang seluruh wadah: akan ada jumlah data yang lebih besar yang ditransfer daripada dengan file yang tidak dienkripsi, tetapi DB hanya mengunggah bagian yang diubah dari file - dan dengan wadah TC yang cukup besar, perubahan yang relatif kecil pada file pada volume yang dienkripsi tidak akan mengakibatkan seluruh perubahan wadah (bagian yang jauh lebih besar dari wadah berubah daripada bagian yang ditempati oleh file-file itu). Meskipun secara teoritis saluran samping, ini membantu dengan ukuran transfer.
Piskvor
(mis: wadah 500 MB, ubah 1 MB file, lepas, Dropbox mulai mengindeks ulang wadah, lalu transfer appx. 50 MB)
Piskvor
8

Anda dapat menggunakan BoxCryptor untuk mengenkripsi semua file yang diunggah ke Dropbox secara otomatis.

Giorgi
sumber
2
Perhatikan saluran samping: nama file (dan ekstensi) terlihat; dengan kata sandi yang lemah, ini dapat membuka jalan cracking yang lebih cepat daripada bruteforce (mis. tajuk dari berbagai format sudah terkenal, karenanya merupakan serangan plaintext yang diketahui sebagian). Bagi kebanyakan orang, ini sangat mustahil terjadi, tetapi ada baiknya untuk menyadari hal ini. (Tapi itu memang terlihat rapi, pasti cukup bagus melawan pengintai kasual; perhatikan juga bahwa ada dukungan lintas-platform)
Piskvor
@Piskvor: - versi terbaru juga mengenkripsi nama file.
Giorgi
Titik adil - setelah sedikit mencari, saya melihat mereka menyebutkannya di blog mereka; situs itu sendiri tidak mengatakan ini, dan tangkapan layar tampaknya dari versi yang lebih lama.
Piskvor
6

Saya merekomendasikan KeePass (Edisi Klasik) untuk menyimpan hal-hal seperti kata sandi atau info kartu kredit. Ini ringan dan didukung di hampir semua platform (via Contributed / KeePass Ports and Builds). Enkripsi adalah Rijndael (AES) .

(Saya tidak berafiliasi)

oleschri
sumber
4

Saya harus mencatat bahwa, sehubungan dengan rancangan makalah ilmiah, sebagian besar lembaga penelitian (termasuk universitas / perguruan tinggi) memiliki kebijakan penyimpanan data yang sangat ketat, dan menyimpan makalah Anda di luar kantor kemungkinan besar merupakan pelanggaran terhadap kebijakan itu. Sebelum melakukan hal seperti itu, tanyakan kepada administrator senior atau seseorang yang tahu apa yang dinyatakan oleh kebijakan itu, karena Anda berpotensi menarik dana Anda jika Anda membuat kesalahan seperti itu.

Lukasa
sumber
2

Dropbox tidak memiliki keamanan yang baik dari aspek kerahasiaan atau ketersediaan, jadi jika data Anda sensitif atau harus tersedia setiap saat, Anda perlu melakukan sesuatu tentang hal itu sendiri.

Untuk kerahasiaan, enkripsi itu: truecrypt berfungsi baik dengan dropbox

Untuk ketersediaan, lihat beberapa alternatif.

Rory Alsop
sumber
2

Apa pun yang Anda letakkan di Dropbox, asumsikan bahwa itu akan diekspos ke publik suatu hari nanti. Karena itulah yang sebenarnya terjadi selama 4 jam kemarin. Terapkan enkripsi pilihan Anda sendiri sebelum menyimpan apa pun di Dropbox.

Mike Rowave
sumber
1
+1 Berlaku untuk apa pun dan segala sesuatu yang Anda tempatkan "di awan", bukan hanya Dropbox.
Piskvor
1

Anda mungkin ingin memberikan artikel InformationWeek ini dibaca. Itu melaporkan bahwa telah ada tuduhan — potensi — masalah keamanan dan privasi dengan DropBox karena prosedur de-duplikasi mereka. DropBox menghitung bahwa karyawan mereka memiliki keterbatasan, jika ada akses ke file pengguna, meskipun beberapa "perlu", dan bahwa mereka telah memilah beberapa masalah, tetapi bukan tentang kemampuan mereka untuk melacak dan melacak apa yang diunggah oleh pengguna apa, dan pelaporan mereka kebijakan kepada pihak berwenang. Salah satu pendiri PGP, protokol enkripsi populer, telah menghapus akun DropBox-nya dan menuduhnya tidak benar-benar mengenkripsi file (meskipun ia mungkin berbicara tentang bagaimana DropBox menggunakan kunci global alih-alih kunci terpisah untuk setiap pengguna — yang tentu saja akan jauh lebih aman) .

Tidak mengherankan, itu semua bermuara pada file-file aktual yang ingin Anda simpan dan seberapa penting file-file itu bagi Anda. Pada akhirnya, Anda harus membuat panggilan penilaian pribadi berdasarkan informasi yang ada.

Synetech
sumber
terima kasih, tampaknya dalam keseimbangan itu lebih aman daripada sebagian besar salinan saya mengambang di sisi yang salah dari daftar belanja dan semacamnya.
Kirt
Saya menggunakan tanda terima perpustakaan bagian belakang perpustakaan. :-)
Synetech
1

Selama saya memiliki kata sandi yang cukup kuat, mungkinkah seseorang yang mengetahui alamat email saya bisa meretasnya?

Sepertinya kata sandi Anda benar-benar tidak relevan : Dropbox memiliki, di masa lalu ( seperti banyak dipublikasikan insiden terjadi pada 2011/06/19, Dropbox resmi respon sini ), menerima password yang valid, untuk jangka waktu - yang , siapa pun bisa masuk seperti Anda, hanya mengetahui nama pengguna Anda .

Ini, di samping perubahan terbaru dalam kebijakan keamanan (yang mengatakan, pada dasarnya, "kami dapat mengakses file Anda sekarang, meskipun pernyataan kami sebelumnya bertentangan"), berarti satu hal:

TIDAK, ini tidak lebih aman daripada membuat file-file itu dapat diakses publik : Saya tidak dapat menemukan jaminan apa pun bahwa masalah besar yang sama tidak akan terjadi lagi besok, dan arsitektur sistem tampaknya tidak melindungi file Anda dengan sendirinya (dan mengandalkan perlindungan eksternal, seperti if(password_ok = 1)memberi Anda, eh, akses gratis untuk siapa pun).

Dengan kata lain: tampaknya tidak ada enkripsi yang berguna (meskipun ada klaim sebelumnya), karena itu Anda harus memperlakukan file seolah-olah mereka berada di tempat terbuka. Jadi, jika Anda berencana untuk menyimpan sesuatu yang sensitif di sana, jangan menyimpannya tanpa enkripsi : gunakan beberapa sistem enkripsi eksternal (mis. File kontainer Truecrypt - bahkan wiki Dropbox menyarankan penggunaan [sic!]), Dan sinkronkan kontainer - itu dienkripsi di sisi Anda, dan karenanya tidak dapat dibaca tanpa kata sandi wadah Anda (yang tidak dimiliki Dropbox); atau menggunakan penyedia sinkronisasi cloud lain yang menyediakan enkripsi sisi klien yang sebenarnya.

Piskvor
sumber
-1

Tidak!

Dropbox wajib menyerahkan data Anda kepada pemerintah AS jika mereka memutuskan untuk meminta Undang-Undang Patriot kepada Anda karena alasan apa pun. Ada juga Undang-Undang Komunikasi Tersimpan tahun 1986 di mana Hak Amandemen Keempat terhadap privasi tidak berlaku dan mereka dapat memanggil data Anda untuk beberapa alasan yang masuk akal.

Bahkan jika Anda mengenkripsi data Anda dan menaruhnya di Dropbox, kemungkinan orang-orang ramah di pemerintahan gelap akan dapat membaca data Anda jika mereka benar-benar menginginkannya. Terlepas dari skema enkripsi terbaru dan terhebat, dalam kehidupan nyata faktor-faktor yang sama yang membuka kode Enigma WW2 ikut berperan - makalah ilmiah / proposal bisnis / gambar Anda akan mulai dengan byte yang sama seperti terakhir kali Anda mengunggahnya, mungkin tidak "Heil Hitler!" tapi tetap saja duplikat konten untuk cracker kode pro untuk mendapatkan kunci pribadi Anda.

Dari sisi AS kolam kekhawatiran tentang UU Patriot mungkin tampak menggelikan. Namun, di Inggris, sangat masuk akal dan dianggap praktik terbaik untuk tidak menyimpan informasi pribadi di server AS bahkan jika informasi ini sama sekali tidak berbahaya, misalnya database pelanggan. Berkali-kali agen mata-mata AS telah membuktikan diri mereka tidak dapat dipercaya, jadi mengapa mempercayai data Anda dengan perusahaan yang dapat diakses oleh mereka? Terkadang prinsipnya yang penting, bukan data Anda. Ini mengecewakan saya bahwa ini belum disebutkan dalam jawaban yang disediakan di utas ini (sampai saat ini).

ʍǝɥʇɐɯ
sumber
1
-1: Jawaban ini mencerminkan kesalahpahaman mendasar tentang bagaimana teknik enkripsi saat ini beroperasi. Pemerintah mungkin besar dan didanai dengan baik, tetapi mereka tidak dapat memecahkan matematika. Kode Enigma adalah perbandingan yang buruk karena mereka "dianggap" aman, tetapi tidak terbukti aman, seperti algoritma modern (misalnya Twofish, AES). Lebih lanjut, ini mengabaikan titik terbesar - mengapa di AS dengan AS mengenkripsi data rahasia mereka sendiri dengan algoritma yang mereka tahu rusak? Tidak masuk akal.
Billy ONeal
Pemerintah memecahkan PGP dengan teknik 'Enigma'. Itu di New York Times pada tahun 2002 - Saya tidak memiliki kutipan untuk diberikan dan saya tidak dapat mengklaim dengan pasti bahwa saya tidak memiliki keterlibatan. Ada dunia perbedaan antara teori kursi dan praktik masa perang, apakah itu WW2 atau TWAT - The War Against Terror. Pada saat itu ada banyak orang yang percaya bahwa PGP lebih baik daripada 'cukup bagus' untuk pembenaran X, untuk semua maksud dan tujuan tidak dapat dipecahkan. Anda mengabaikan faktor manusia yang merupakan perbedaan penting antara teori dan praktik. Sekarang jual aku Titanic yang tidak bisa tenggelam.
ʍǝɥʇɐɯ
Ini sebenarnya sepenuhnya diperdebatkan - Dropbox telah menyatakan bahwa mereka mematuhi Penegakan Hukum jika mereka menerima panggilan pengadilan. Jelas enkripsi mereka dapat dibalik; itulah cara Anda dapat mengakses file Anda melalui antarmuka online. Alasan sebenarnya jawaban ini tidak berguna adalah karena mengabaikan pertanyaan si penanya: ia tidak khawatir pemerintah melihat surat-suratnya. Dia bukan penjahat. Ini hanya beberapa hal kecil, agak sensitif, tetapi bukan rahasia negara.
nhinkle
1
Secara analogi, bagaimana jika Dropbox berbasis di Cina? Apakah Anda senang dengan itu? Bahkan jika Anda tidak menyembunyikan apa pun? Tentu saja Anda akan !!! Suka atau tidak, Cina jinak dan tidak berbahaya dibandingkan dengan pos 9/11 polisi negara bagian AS. Bertentangan dengan apa yang diberitakan Fox News, pemerintah AS tidak menghabiskan $ 80 miliar setahun untuk berburu bin Laden. Untuk 'mencegat komunikasi pribadi dan komersial dan bukan komunikasi militer' adalah keputusan Parlemen Eropa pada tahun 2001. Tanya saja Airbus - setelah ditipu saya ragu mereka mempercayai 'awan' ketika mengajukan tender terhadap Boeing.
ʍǝɥʇɐɯ
1
... dan kemudian hari ini Dropbox yang dicintai tidak memiliki kata sandi pada file siapa pun selama empat jam. sayang oh sayang.
ʍǝɥʇɐɯ