Ist es sicher, halbempfindliche Informationen in Dropbox aufzubewahren?

23

Ich würde Dropbox meine Bankdaten und dergleichen nicht anvertrauen (weil viele Leute nach solchen Informationen suchen), aber ist es sicher, Dinge aufzubewahren, die für eine kleine Anzahl von Leuten wertvoll sein könnten? ZB wirtschaftlich sensible Informationen, Entwürfe wissenschaftlicher Arbeiten, Antwortblätter für Hochschulprüfungen, Nachhilfelehrer usw.

Gibt es im Kleingedruckten relevante Informationen zum Datenschutz oder zum Besitz gespeicherter Informationen, die ich möglicherweise übersehen habe?

Ist es wahrscheinlich, dass jemand, der weiß, dass meine E-Mail-Adresse in der Lage ist, mein Passwort zu hacken, solange ich einigermaßen sicheres Passwort habe?

security dropbox privacy Kirt
quelle
7
Sehr aktuell für security.stackexchange.com
Rory Alsop
Viele Einblicke in diesen Blog-Beitrag von Miguel de Icaza: tirania.org/blog/archive/2011/Apr-19.html
Vincent Buck

Antworten:

29

In den Nutzungsbedingungen von Dropbox heißt es, dass sie keine Eigentumsrechte beanspruchen und anscheinend über eine gute Sicherheit verfügen. Um Ihr Passwort zurückzusetzen, sendet Ihnen Dropbox eine E-Mail-Nachricht mit einem Rücksetzcode. Jemand benötigt Zugriff auf Ihr E-Mail-Konto, Ihr Kennwort oder einen Computer, auf dem Sie Dropbox eingerichtet haben, um auf Ihre Dateien zuzugreifen.

Wenn Sie mehr Sicherheit wünschen, können Sie Dateien vor dem Hochladen mit TrueCrypt verschlüsseln. Solange Sie keine Dateien in Ihrem öffentlichen Ordner ablegen, sollten Sie trotzdem sicher sein.

PS Ich empfehle mit Ihrer Firma Anwälte überprüfen , bevor geheime Informationen Hochladen überall , nur für den Fall.

user775598
quelle
4
+1 für truecrypt, während Dropbox Sicherheit gut getan zu haben scheinen, wenn Ihre Daten empfindlich reagieren, sollten Sie es nicht das Hochladen werden überall unverschlüsselt.
Phoshi
3
Ich benutze Dropbox mit einem 500 MB TrueCrypt-Container. Es ist großartig: Wenn ich etwas hineingebe, werden nur die Änderungen synchronisiert (nach dem Abmelden!) - das ist nicht schwierig, aber auch nicht trivial. Manchmal bekomme ich eine Konfliktdatei, wenn ein ganzer zweiter Container heruntergeladen wird. Nachdem ich beide gemountet und synchronisiert habe, lösche ich einen von ihnen. Daher für einen mehr als Anfänger ein perfektes Werkzeug.
30.
2
Ich bin nicht einverstanden, dass Dropbox über eine gute Sicherheit verfügt. Dazu müssten die Verschlüsselungsschlüssel auf dem Client gespeichert oder zumindest mit Ihrem Kennwort verschlüsselt werden. Dies würde natürlich Funktionen wie den Zugriff auf Ihre Dateien verhindern, wenn Sie Ihr Passwort vergessen, aber es bedeutet dennoch, dass deren Sicherheit höchstens "anständig" ist. Ich würde definitiv ein Verschlüsselungsschema verwenden (ich verwende encfs, weil es jede Datei separat verschlüsselt, was meiner Meinung nach weniger sicher, aber bequemer ist), wenn ich kommerziell sensible Informationen verwenden würde.
André Paramés
@ André Wenn du diese Art von Sicherheit brauchst, versuche es mit Link oder Link . Diese Dienste behalten Ihre Verschlüsselungsschlüssel clientseitig bei, obwohl SpiderOak Ihnen den Webzugriff ermöglicht, wenn Sie ihm das Kennwort geben (sie versprechen, es nur für die Dauer der Sitzung im Serverspeicher zu belassen).
user775598
1
Sie schienen in der Tat eine gute Sicherheit zu haben. Der Bug vom 19. Juni hat diese Illusion aufgelöst; Betrachten Sie alles in Ihrem Konto öffentlich.
Piskvor
13

Es hängt alles davon ab, mit welchem ​​Grad an "Sicherheit" Sie vertraut sind. Hier sind einige Punkte zu beachten:

  • Alle (oder ein Teil der) Dateien in Dropbox werden auch lokal gespeichert. Sie können Teile Ihrer Dropbox auf anderen Computern synchronisieren, aber einer Ihrer Computer hat irgendwo den vollen Status. Dies bedeutet, dass Sie beim Verlust Ihres Computers einen Toast auslösen müssen, da diese Informationen nicht verschlüsselt oder sicher sind.
  • Dropbox ist nur so sicher wie menschlich möglich, und vielleicht nicht einmal so viel. (Als Beispiel: Dropbox-Mitarbeiter können Ihre Inhalte sehen und übergeben sie der Regierung, wenn sie dazu aufgefordert werden. Früher sagten sie, dass sie dies nicht tun könnten, aber später änderten sie ihre Aussage.)
  • Truecrypt lässt sich hervorragend in Verbindung mit Dropbox verwenden. Beachten Sie jedoch, dass Dropbox keine Aktualisierungen einzelner Dateien durchführen kann, wenn sich eine Datei in Ihrem TrueCrypt-Volume ändert - das gesamte Volume muss erneut verschoben werden.
  • Letztendlich hängt alles von Ihrem Komfort ab und davon, inwieweit Sie sowohl den Netzwerken, in denen Sie leben, als auch dem Service und seinen Mitarbeitern vertrauen.

Wenden Sie sich wie in der anderen Antwort zunächst an die Anwälte Ihres Unternehmens. Selbst wenn es zu 100% sicher wäre, könnten sie es nicht mögen, wenn Geheimnisse an einem anderen Ort aufbewahrt werden, um den sie sich Sorgen machen müssen.

Kerri Shotts
quelle
1
+1, insbesondere für die Angabe, dass Dropbox-Mitarbeiter Ihre Inhalte sehen können . Dies ist wichtig, und es gibt möglicherweise andere Dateifreigabedienste, die Dateien stattdessen mit Ihrem Kennwort verschlüsseln und sie selbst für sich selbst unlesbar machen.
Macke
2
Als Dropbox und TC Benutzer, fand ich heraus , dass es nicht ganz korrekt ist innerhalb des verschlüsselten Containers zu sagen , dass eine Änderung wird den gesamten Behälter erneut hochladen: Es wird mit einer unverschlüsselten Datei eine größere Menge an Daten übertragen wird als, aber DB uploads nur die Geänderte Teile der Datei - und bei ausreichend großen TC-Containern führen relativ kleine Änderungen der Dateien auf dem verschlüsselten Volume nicht dazu, dass sich der gesamte Container ändert (ein signifikant größerer Teil des Containers ändert sich als der von diesen Dateien belegte Teil). Obwohl es sich theoretisch um einen Seitenkanal handelt, hilft dies bei der Übertragungsgröße.
Piskvor
(zB: 500 MB Container, 1 MB Dateien ändern, Bereitstellung aufheben, Dropbox beginnt mit der Neuindizierung des Containers und überträgt dann ca. 50 MB)
Piskvor
8

Mit BoxCryptor können Sie alle Dateien, die in Dropbox hochgeladen werden, automatisch verschlüsseln.

Giorgi
quelle
2
Beachten Sie die Seitenkanäle: Dateinamen (und Erweiterungen) sind sichtbar; mit einem schwachen Passwort kann dies Wege für schnelleres Cracken als bruteforce eröffnen (z. B. sind Header verschiedener Formate bekannt, daher ein teilweise bekannter Klartextangriff). Für die meisten Menschen ist dies ziemlich unwahrscheinlich, aber es ist gut, sich dessen bewusst zu sein. (aber es sieht in der Tat gut aus, definitiv gut genug gegen
gelegentliche Snoopers
@Piskvor: - Die neueste Version verschlüsselt auch Dateinamen.
Giorgi
Fair point - nach einigem Suchen erwähnen sie es in ihrem Blog. Die Site selbst sagt dies nicht und die Screenshots stammen anscheinend von einer älteren Version.
Piskvor
6

Ich empfehle KeePass (Classic Edition) zum Speichern von Passwörtern oder Kreditkarteninformationen. Es ist leicht und wird auf fast jeder Plattform unterstützt (über Contributed / Inofficial KeePass Ports and Builds). Verschlüsselung ist Rijndael (AES) .

(Ich bin nicht angeschlossen)

oleschri
quelle
4

Ich möchte darauf hinweisen, dass die meisten Forschungseinrichtungen (einschließlich Universitäten / Hochschulen) in Bezug auf Entwürfe von wissenschaftlichen Veröffentlichungen sehr strenge Richtlinien für die Datenspeicherung anwenden, und dass eine externe Speicherung Ihrer Veröffentlichungen wahrscheinlich einen Verstoß gegen diese Richtlinien darstellt. Wenden Sie sich an einen leitenden Administrator oder an jemanden, der weiß, wie diese Richtlinie lautet, bevor Sie etwas Ähnliches tun, da Sie möglicherweise Geld abheben können, wenn Sie diese Art von Fehler machen.

Lukasa
quelle
2

Dropbox bietet weder unter dem Gesichtspunkt der Vertraulichkeit noch der Verfügbarkeit eine gute Sicherheit. Wenn Ihre Daten also vertraulich sind oder jederzeit verfügbar sein müssen, müssen Sie selbst etwas dagegen unternehmen.

Verschlüsseln Sie es aus Gründen der Vertraulichkeit: truecrypt funktioniert gut mit dropbox

Informationen zur Verfügbarkeit finden Sie in mehreren Alternativen.

Rory Alsop
quelle
2

Was auch immer Sie auf Dropbox setzen, nehmen Sie an, dass es eines Tages der Öffentlichkeit zugänglich sein wird. Denn genau das ist gestern für 4 Stunden passiert. Wenden Sie die Verschlüsselung Ihrer Wahl an, bevor Sie etwas in Dropbox speichern.

Mike Rowave
quelle
1
+1 Gilt für alles, was Sie "in die Cloud" stellen, nicht nur für Dropbox.
Piskvor
1

Vielleicht möchten Sie diesen InformationWeek-Artikel lesen. Es wird berichtet, dass es Vorwürfe wegen potenzieller Sicherheits- und Datenschutzprobleme mit DropBox aufgrund ihrer Deduplizierungsverfahren gegeben hat. DropBox geht davon aus , dass die Mitarbeiter nur eingeschränkten Zugriff auf die Dateien der Benutzer haben, wenn auch nur wenige, und dass sie einige Probleme behoben haben, jedoch nicht in Bezug auf ihre Fähigkeit, zu verfolgen, welche Benutzer was hochgeladen haben, und ihre Berichterstellung Politik gegenüber den Behörden. Der Mitbegründer von PGPDas beliebte Verschlüsselungsprotokoll hat sein DropBox-Konto gelöscht und wirft ihnen vor, die Dateien nicht wirklich verschlüsselt zu haben (obwohl er wahrscheinlich darüber spricht, wie DropBox einen globalen Schlüssel anstelle von separaten Schlüsseln für jeden Benutzer verwendet - was natürlich viel sicherer wäre). .

Es ist nicht überraschend, dass es nur darauf ankommt, welche Dateien Sie tatsächlich speichern möchten und wie wichtig sie für Sie sind. Am Ende müssen Sie anhand der vorliegenden Informationen ein persönliches Urteilsgespräch führen.

Synetech
quelle
Danke, alles in allem scheint es sicherer zu sein als die meisten meiner Ausdrucke, die auf der falschen Seite von Einkaufslisten herumschwirren.
Kirt
Ich verwende die Rückseite der Kassenzettel. :-)
Synetech
1

Ist es wahrscheinlich, dass jemand, der weiß, dass meine E-Mail-Adresse in der Lage ist, mein Passwort zu hacken, solange ich einigermaßen sicheres Passwort habe?

Es sieht so aus, als wäre Ihr Passwort völlig irrelevant : Dropbox hat in der Vergangenheit ( so ein weit verbreiteter Vorfall ereignete sich am 19.06.2011, offizielle Antwort von Dropbox hier ) jedes Passwort für einen längeren Zeitraum als gültig akzeptiert - das heißt , haben jemand könnte , wie Sie angemeldet sind , nur Ihren Benutzernamen kennen .

Zusätzlich zu der kürzlich vorgenommenen Änderung der Sicherheitsrichtlinie (die im Wesentlichen besagt: "Wir können jetzt auf Ihre Dateien zugreifen, obwohl wir zuvor das Gegenteil erklärt haben"), bedeutet dies Folgendes:

NEIN, es ist nicht sicherer, als diese Dateien öffentlich zugänglich zu machen : Ich kann keine Garantie dafür finden, dass ein ähnlich schwerwiegendes Problem morgen nicht wieder auftritt, und die Architektur des Systems scheint Ihre Dateien nicht von sich aus zu schützen (und sich auf externen Schutz verlassen, um if(password_ok = 1)Ihnen freien Zugang zu verschaffen).

Mit anderen Worten: Es gibt anscheinend keine sinnvolle Verschlüsselung (trotz vorheriger Behauptungen), daher sollten Sie die Dateien so behandeln, als ob sie im Freien wären. Wenn Sie vorhaben, dort sensible Daten zu speichern, sollten Sie sie nicht unverschlüsselt speichern : Verwenden Sie ein externes Verschlüsselungssystem (z. B. eine Truecrypt- Containerdatei - sogar das Wiki von Dropbox empfiehlt die Verwendung dieser Datei [sic!]), Und synchronisieren Sie den Container - er ist verschlüsselt auf Ihrer Seite und somit unlesbar ohne Ihr Container-Passwort (welches Dropbox nicht hat); oder verwenden Sie einen anderen Cloud-Synchronisierungsanbieter, der die eigentliche clientseitige Verschlüsselung bereitstellt.

Piskvor
quelle
-1

Nein!

Dropbox ist verpflichtet, Ihre Daten an die US-Regierung weiterzuleiten, falls sie sich aus irgendeinem Grund dazu entschließen, den Patriot Act auf Sie anzuwenden. Es besteht auch die 1986 Stored Communications Act , wo Vierte Änderung Rechte auf Privatsphäre nicht gelten und sie können Ihre Daten für einige möglicherweise vernünftigen Grund vorladen.

Selbst wenn Sie Ihre Daten verschlüsseln und in Dropbox ablegen, besteht die Möglichkeit, dass diese freundlichen Leute in der Dunkelregierung Ihre Daten lesen können, wenn sie dies wirklich möchten. Unabhängig vom neuesten und besten Verschlüsselungsschema spielen im wirklichen Leben dieselben Faktoren eine Rolle, die die Enigma-Codes des Zweiten Weltkriegs geöffnet haben - Ihre wissenschaftliche Arbeit / Ihr Geschäftsantrag / Ihre Bilder beginnen mit denselben Bytes wie beim letzten Hochladen, vielleicht auch nicht 'Hi Hitler!' aber dennoch genug doppelte Inhalte, damit die Pro-Code-Cracker auf Ihren privaten Schlüssel zugreifen können.

Von der US-Seite des Teiches scheinen Bedenken hinsichtlich des Patriot Act lächerlich. In Großbritannien ist es jedoch durchaus sinnvoll und empfehlenswert, personenbezogene Daten nicht auf US-amerikanischen Servern zu speichern, auch wenn diese Informationen völlig ungefährlich sind, z. B. eine Kundendatenbank. Immer wieder haben sich die US-Spionageagenturen als nicht vertrauenswürdig erwiesen. Warum sollten Sie Ihren Daten also Unternehmen anvertrauen, auf die sie zugreifen können? Manchmal kommt es auf das Prinzip an, nicht auf Ihre Daten. Es enttäuscht mich, dass dies in den Antworten in diesem Thread (bis jetzt) ​​nicht erwähnt wurde.

ʍǝɥʇɐɯ
quelle
1
-1: Diese Antwort spiegelt ein grundlegendes Missverständnis darüber wider, wie aktuelle Verschlüsselungstechniken funktionieren. Die Regierung mag groß und gut finanziert sein, aber sie kann die Mathematik nicht durchbrechen. Die Enigma-Codes stellen einen schlechten Vergleich dar, da sie als "sicher" galten, aber nicht nachweislich sicher waren, wie es moderne Algorithmen (z. B. Twofish, AES) sind. Außerdem übersieht dies den größten Punkt - warum um alles in der Welt verschlüsseln die USA ihre eigenen streng geheimen Daten mit einem Algorithmus, von dem sie wussten, dass er kaputt ist? Ergibt keinen Sinn
Billy ONeal
Die Regierung hat PGP mit "Enigma" -Techniken gebrochen. Das war in der New York Times im Jahr 2002 - ich habe das Zitat nicht zur Hand und kann nicht mit Sicherheit behaupten, dass ich keine Beteiligung hatte. Es gibt einen großen Unterschied zwischen Sesseltheorie und Kriegspraxis, sei es im Zweiten Weltkrieg oder in TWAT - Der Krieg gegen den Terror. Zu der Zeit gab es eine Menge Leute, die glaubten, PGP sei besser als "ziemlich gut" für die Rechtfertigung von X, in jeder Hinsicht unzerbrechlich. Sie übersehen den menschlichen Faktor, der den entscheidenden Unterschied zwischen Theorie und Praxis ausmacht. Jetzt verkaufe mir eine unsinkbare Titanic.
30.
Dies ist eigentlich völlig umstritten - Dropbox hat erklärt, dass sie die Strafverfolgung einhalten, wenn sie eine Vorladung erhalten. Offensichtlich ist ihre Verschlüsselung umkehrbar; Auf diese Weise können Sie über die Online-Oberfläche auf Ihre Dateien zugreifen. Der wahre Grund, warum diese Antwort nicht nützlich ist, ist, dass sie den Punkt des Fragestellers ignoriert: Er macht sich keine Sorgen, dass die Regierung seine Papiere sieht. Er ist kein Verbrecher. Es sind nur ein paar kleinere, etwas heikle Dinge, aber keine Staatsgeheimnisse.
nhinkle
1
Was wäre, wenn Dropbox in China ansässig wäre? Würdest du damit zufrieden sein? Auch wenn Sie nichts zu verbergen hatten? Natürlich würdest du !!! Wie es oder nicht China ist gutartig und harmlos im Vergleich zum Polizeistaat USA nach dem 11. September. Im Gegensatz zu Fox News gibt die US-Regierung keine 80 Milliarden Dollar pro Jahr für die Jagd nach Bin Laden aus. Die private und kommerzielle Kommunikation und nicht die militärische Kommunikation abzufangen, war das Urteil des Europäischen Parlaments im Jahr 2001. Fragen Sie einfach Airbus - ich bezweifle, dass sie bei Ausschreibungen gegen Boeing der Cloud vertrauen.
30.
1
... und dann hat die geliebte Dropbox heute vier Stunden lang keine Passwörter mehr in den Akten. Lieber, Lieber.
ʍǝɥʇɐɯ