¿Es seguro mantener información semi-sensible en Dropbox?

23

No confiaría en Dropbox con mis datos bancarios y demás (porque hay muchas personas que buscan ese tipo de información), pero ¿es seguro conservar cosas que podrían ser valiosas para un pequeño número de personas? Por ejemplo, información comercialmente sensible, borradores de documentos científicos, hojas de respuestas para evaluaciones universitarias, tutor, etc.

¿Hay algo relevante en la letra pequeña sobre la privacidad o la propiedad de la información almacenada que pueda haber pasado por alto?

Mientras tenga una contraseña razonablemente segura, ¿es probable que alguien que conozca mi dirección de correo electrónico pueda hackearla?

security dropbox privacy Kirt
fuente
77
Muy sobre el tema para security.stackexchange.com
Rory Alsop
Muchas ideas en esta publicación de blog de Miguel de Icaza: tirania.org/blog/archive/2011/Apr-19.html
Vincent Buck

Respuestas:

29

Los Términos de servicio de Dropbox establecen que no reclaman derechos de propiedad y parecen tener buena seguridad. Para restablecer su contraseña, Dropbox le envía un mensaje de correo electrónico con un código de restablecimiento. Alguien necesitaría acceso a su cuenta de correo electrónico, su contraseña o una computadora en la que había configurado Dropbox para acceder a sus archivos.

Si desea más seguridad, puede usar TrueCrypt para cifrar archivos antes de cargarlos. Siempre que no coloque archivos en su carpeta pública, debe estar seguro de todos modos.

PD: Recomiendo consultar con los abogados de su empresa antes de cargar información secreta en cualquier lugar , por si acaso.

usuario775598
fuente
44
+1 para TrueCrypt, mientras que Dropbox parece tener una buena seguridad, si sus datos son confidenciales, no debería cargarlos en ningún lugar sin cifrar.
Phoshi
3
Yo uso Dropbox con un contenedor de 500 MB de criptografía verdadera. Es genial: si pongo algo allí, solo se sincronizan los cambios (¡después de desmontar!) --- eso no es difícil, pero tampoco trivial. A veces obtengo un archivo de conflicto, cuando se descarga un segundo contenedor completo. Después de montar ambos y sincronizarlos, elimino uno de ellos. Por lo tanto, para un usuario más novato, una herramienta perfecta.
Towi
2
No estoy de acuerdo con que Dropbox tenga una buena seguridad, eso requeriría mantener las claves de cifrado en el cliente o, al menos, cifrarlas con su contraseña. Por supuesto, esto evitaría características como acceder a sus archivos si olvida su contraseña, pero aún significa que su seguridad es como mucho "decente". Definitivamente usaría algún esquema de encriptación (uso encfs porque encripta cada archivo por separado, lo que es menos seguro pero más conveniente, en mi opinión) si tuviera que poner información comercialmente sensible.
André Paramés
@ André Si necesita ese tipo de seguridad, intente con el enlace o enlace . Estos servicios mantienen sus claves de cifrado en el lado del cliente, aunque SpiderOak le permitirá acceder a la web si le da la contraseña (prometen mantenerla solo en la memoria del servidor durante la sesión).
user775598
1
De hecho, parecían tener buena seguridad. El error del 19 de junio ha disuelto esta ilusión; considere todo en su cuenta pública.
Piskvor
13

Todo depende del nivel de "seguridad" con el que se sienta cómodo. Aquí hay algunos puntos a considerar:

  • Todos (o una parte de) los archivos en Dropbox también se almacenan localmente. Puede elegir sincronizar partes de su Dropbox en otras máquinas, pero una de sus máquinas en algún lugar tiene el estado completo. Esto significa que si su máquina alguna vez se pierde, está tostado, porque esa información no está encriptada ni segura.
  • Dropbox es tan seguro como sea humanamente posible, y tal vez ni siquiera eso. (Como ejemplo: los empleados de Dropbox pueden ver su contenido y lo entregarán al gobierno si se lo solicitan. Solían decir que no podían hacerlo, pero luego cambiaron su declaración).
  • Truecrypt es excelente para usar junto con Dropbox. Sin embargo, tenga en cuenta que Dropbox no podrá realizar actualizaciones de un solo archivo cuando cambie cualquier archivo en su volumen TrueCrypt: todo el volumen tendrá que volver a subir.
  • En última instancia, todo depende de su nivel de comodidad y de cuánto confía tanto en las redes en las que vive como en el servicio y sus empleados.

Como en la otra respuesta, consulte primero con los abogados de su empresa. Incluso si fuera 100% seguro, puede que no les guste tener secretos almacenados en otro lugar del que tengan que preocuparse.

Kerri Shotts
fuente
1
+1, especialmente por indicar que los empleados de Dropbox pueden ver tu contenido . Esto es importante, y puede haber otros servicios para compartir archivos que cifran archivos con su contraseña, haciéndolos ilegibles incluso para ellos mismos.
Macke
2
Como usuario de Dropbox y TC, descubrí que no es del todo correcto decir que un cambio dentro del contenedor encriptado volverá a cargar todo el contenedor: habrá una mayor cantidad de datos transferidos que con un archivo sin encriptar, pero DB solo carga el porciones modificadas del archivo, y con contenedores TC lo suficientemente grandes, los cambios relativamente pequeños en los archivos en el volumen cifrado no darán lugar a un cambio completo del contenedor (una parte significativamente mayor del contenedor cambia que la parte ocupada por esos archivos). Aunque teóricamente es un canal lateral, ayuda con el tamaño de transferencia.
Piskvor
(por ejemplo: contenedor de 500 MB, cambiar 1 MB de archivos, desmontar, Dropbox comienza a volver a indexar el contenedor, luego transfiere aproximadamente 50 MB)
Piskvor
8

Puede usar BoxCryptor para cifrar automáticamente todos los archivos que se cargan en Dropbox.

Giorgi
fuente
2
Tenga en cuenta los canales laterales: los nombres de archivo (y extensiones) son visibles; con una contraseña débil, esto puede abrir vías de craqueo más rápido que la fuerza bruta (por ejemplo, los encabezados de varios formatos son bien conocidos, por lo tanto, un ataque de texto plano parcialmente conocido). Para la mayoría de las personas, esto es bastante improbable, pero es bueno estar al tanto de esto. (pero de hecho se ve ordenado, definitivamente lo suficientemente bueno contra los espías casuales; tenga en cuenta también que hay soporte multiplataforma)
Piskvor
@Piskvor: - la última versión también cifra los nombres de los archivos.
Giorgi
Punto justo: después de un poco de búsqueda, veo que lo mencionan en su blog; el sitio en sí no dice esto, y las capturas de pantalla son aparentemente de una versión anterior.
Piskvor
6

Recomiendo KeePass (Classic Edition) para almacenar cosas como contraseñas o información de tarjetas de crédito. Es liviano y soportado en casi cualquier plataforma (a través de Puertos y Compilaciones Contribuidos / No Oficiales KeePass). El cifrado es Rijndael (AES) .

(No estoy afiliado)

oleschri
fuente
4

Debo señalar que, con respecto a los borradores de artículos científicos, la mayoría de las instituciones de investigación (universidades / colegios incluidos) tienen políticas de almacenamiento de datos muy estrictas, y el almacenamiento de sus documentos fuera del sitio probablemente sea una violación de esa política. Antes de hacer algo así, verifique con un administrador sénior o alguien que sepa lo que dice esa política, ya que puede obtener su financiamiento si comete ese tipo de error.

Lukasa
fuente
2

Dropbox no tiene una buena seguridad ni en los aspectos de confidencialidad ni de disponibilidad, por lo que si sus datos son confidenciales o deben estar disponibles en todo momento, debe hacer algo al respecto usted mismo.

Por confidencialidad, encripte: truecrypt funciona bien con Dropbox

Para disponibilidad, mire múltiples alternativas.

Rory Alsop
fuente
2

Independientemente de lo que ponga en Dropbox, suponga que algún día estará expuesto al público. Porque eso es lo que sucedió ayer durante 4 horas. Aplique su propia elección de cifrado antes de almacenar cualquier cosa en Dropbox.

Mike Rowave
fuente
1
+1 Se aplica a todo lo que esté poniendo "en la nube", no solo a Dropbox.
Piskvor
1

Es posible que desee leer este artículo de InformationWeek . Informa que ha habido acusaciones de posibles problemas de seguridad y privacidad con DropBox debido a sus procedimientos de deduplicación. DropBox responde que sus empleados tienen acceso limitado, si es que tienen acceso a los archivos de los usuarios, aunque algunos “necesitan”, y que han resuelto algunos problemas, pero no sobre su capacidad para rastrear y rastrear qué usuarios cargaron qué, y sus informes políticas a las autoridades. El cofundador de PGP, el popular protocolo de cifrado, ha eliminado su cuenta de DropBox y los acusa de no cifrar realmente los archivos (aunque probablemente esté hablando de cómo DropBox usa una clave global en lugar de claves separadas para cada usuario, lo que, por supuesto, sería mucho más seguro) .

No es sorprendente que todo se reduzca a los archivos reales que desea almacenar y lo importante que son para usted. Al final, debe hacer una llamada de juicio personal basada en la información disponible.

Synetech
fuente
gracias, parece que en general es más seguro que la mayoría de mis copias impresas flotando en el lado equivocado de las listas de compras y demás.
Kirt
Uso el reverso de los recibos de salida de la biblioteca. :-)
Synetech
1

Mientras tenga una contraseña razonablemente segura, ¿es probable que alguien que conozca mi dirección de correo electrónico pueda hackearla?

Parece que la contraseña es completamente irrelevante : Dropbox tiene, en el pasado ( un ejemplo ampliamente publicitado incidente ocurrió en 2011-06-19, oficial de Dropbox respuesta aquí ), aceptada como válida cualquier contraseña, por un período prolongado de tiempo - es decir , cualquiera podría haber iniciado sesión como usted, solo conociendo su nombre de usuario .

Esto, además del cambio reciente en la política de seguridad (que dice, esencialmente, "podemos acceder a sus archivos ahora, a pesar de nuestras declaraciones anteriores en sentido contrario"), significa una cosa:

NO, no es más seguro que tener esos archivos a disposición del público : no puedo encontrar ningún tipo de garantía de que mañana no vuelva a ocurrir un problema similar, y la arquitectura del sistema no parece proteger sus archivos por sí misma (y depender de protección externa, como if(password_ok = 1)obtener, uh, acceso gratuito para cualquier persona).

En otras palabras: aparentemente no existe ningún cifrado útil (a pesar de las afirmaciones anteriores), por lo tanto, debe tratar los archivos como si estuvieran a la vista. Por lo tanto, si planea almacenar algo sensible allí, no lo guarde sin cifrar : use algún sistema externo de cifrado (por ejemplo, un archivo contenedor Truecrypt , incluso el wiki de Dropbox sugiere usar eso [sic!]), Y sincronice el contenedor , está cifrado de su lado, y por lo tanto ilegible sin su contraseña de contenedor (que Dropbox no tiene); o use un proveedor de sincronización en la nube diferente que proporcione cifrado real del lado del cliente.

Piskvor
fuente
-1

¡No!

Dropbox está obligado a entregar sus datos al gobierno de los EE. UU. Si deciden invocar la Ley Patriota sobre usted por cualquier motivo. También existe la Ley de Comunicaciones almacenados en 1986 del cuarto derechas de la enmienda a la privacidad no se aplican y se puede citar a sus datos por alguna razón, posiblemente razonable.

Incluso si encripta sus datos y los coloca en Dropbox, es probable que esas personas amigables en el gobierno oscuro puedan leer sus datos si realmente lo desean. Independientemente del último y mejor esquema de cifrado, en la vida real entran en juego los mismos factores que abrieron los códigos Enigma de la Segunda Guerra Mundial: su documento científico / propuesta comercial / imágenes comenzarán con los mismos bytes que la última vez que los cargó, tal vez no ¡Heil Hitler! pero, sin embargo, suficiente contenido duplicado para que los descifradores de códigos profesionales lleguen a su clave privada.

Desde el lado estadounidense del estanque, las preocupaciones sobre la Ley Patriota pueden parecer ridículas. Sin embargo, en el Reino Unido, es bastante razonable y se considera la mejor práctica no almacenar información personal en servidores de EE. UU. Incluso si esta información es completamente inofensiva, por ejemplo, una base de datos de clientes. Una y otra vez, las agencias de espionaje de los EE. UU. Han demostrado ser poco confiables, entonces, ¿por qué confiar en sus datos con empresas a las que pueden acceder? A veces es el principio lo que importa, no sus datos. Me decepciona que esto no se haya mencionado en las respuestas proporcionadas en este hilo (hasta la fecha).

ʍǝɥʇɐɯ
fuente
1
-1: Esta respuesta refleja un malentendido fundamental sobre cómo funcionan las técnicas de cifrado actuales. El gobierno puede ser grande y bien financiado, pero no pueden romper las matemáticas. Los códigos Enigma son una comparación pobre porque se "pensó que eran seguros", pero no eran demostrablemente seguros, como lo son los algoritmos modernos (por ejemplo, Twofish, AES). Además, esto pasa por alto el punto más importante: ¿por qué en Estados Unidos encriptan sus propios datos de alto secreto con un algoritmo que sabían que estaba roto? No tiene sentido
Billy ONeal
El gobierno rompió PGP con técnicas de 'Enigma'. Eso fue en el New York Times en 2002: no tengo la cita a mano y no puedo afirmar con certeza que no participé. Hay un mundo de diferencia entre la teoría del sillón y la práctica en tiempos de guerra, ya sea WW2 o TWAT: la guerra contra el terror. En ese momento había muchas personas que creían que PGP era mejor que "bastante bueno" para la justificación X, a todos los efectos y propósitos irrompibles. Se pasa por alto el factor humano, que es la diferencia crucial entre la teoría y la práctica. Ahora véndeme un Titanic insumergible.
ʍǝɥʇɐɯ
En realidad, esto es totalmente discutible: Dropbox ha declarado que cumplen con la aplicación de la ley si reciben una citación. Obviamente su encriptación es reversible; así es como puede acceder a sus archivos a través de la interfaz en línea. La verdadera razón por la que esta respuesta no es útil es porque ignora el punto de la pregunta: no le preocupa que el gobierno vea sus documentos. Él no es un criminal. Es solo algo menor, algo sensible, pero no secretos de estado.
nhinkle
1
Por analogía, ¿qué pasa si Dropbox tiene su sede en China? ¿Serías feliz con eso? ¿Incluso si no tuvieras nada que ocultar? ¡Por supuesto que sí! Nos guste o no, China es benigna e inofensiva en comparación con el estado policial posterior al 11 de septiembre de EE. UU. Contrariamente a lo que Fox News le dice, el gobierno de EE. UU. No gasta $ 80 mil millones al año en la caza del bin Laden. "Interceptar las comunicaciones privadas y comerciales y no las comunicaciones militares" fue el veredicto del Parlamento Europeo en 2001. Simplemente pregúntele a Airbus: después de ser criticado, dudo que confíen en "la nube" cuando licitan contra Boeing.
ʍǝɥʇɐɯ
1
... y hoy, querido Dropbox, no tiene contraseñas en los archivos de nadie durante cuatro horas. querido oh querido
ʍǝɥʇɐɯ