¿Es seguro mantener información semi-sensible en Dropbox?

No confiaría en Dropbox con mis datos bancarios y demás (porque hay muchas personas que buscan ese tipo de información), pero ¿es seguro conservar cosas que podrían ser valiosas para un pequeño número de personas? Por ejemplo, información comercialmente sensible, borradores de documentos científicos, hojas de respuestas para evaluaciones universitarias, tutor, etc.

¿Hay algo relevante en la letra pequeña sobre la privacidad o la propiedad de la información almacenada que pueda haber pasado por alto?

Mientras tenga una contraseña razonablemente segura, ¿es probable que alguien que conozca mi dirección de correo electrónico pueda hackearla?

Los Términos de servicio de Dropbox establecen que no reclaman derechos de propiedad y parecen tener buena seguridad. Para restablecer su contraseña, Dropbox le envía un mensaje de correo electrónico con un código de restablecimiento. Alguien necesitaría acceso a su cuenta de correo electrónico, su contraseña o una computadora en la que había configurado Dropbox para acceder a sus archivos.

Si desea más seguridad, puede usar TrueCrypt para cifrar archivos antes de cargarlos. Siempre que no coloque archivos en su carpeta pública, debe estar seguro de todos modos.

PD: Recomiendo consultar con los abogados de su empresa antes de cargar información secreta en cualquier lugar , por si acaso.

Todo depende del nivel de "seguridad" con el que se sienta cómodo. Aquí hay algunos puntos a considerar:

• Todos (o una parte de) los archivos en Dropbox también se almacenan localmente. Puede elegir sincronizar partes de su Dropbox en otras máquinas, pero una de sus máquinas en algún lugar tiene el estado completo. Esto significa que si su máquina alguna vez se pierde, está tostado, porque esa información no está encriptada ni segura.
• Dropbox es tan seguro como sea humanamente posible, y tal vez ni siquiera eso. (Como ejemplo: los empleados de Dropbox pueden ver su contenido y lo entregarán al gobierno si se lo solicitan. Solían decir que no podían hacerlo, pero luego cambiaron su declaración).
• Truecrypt es excelente para usar junto con Dropbox. Sin embargo, tenga en cuenta que Dropbox no podrá realizar actualizaciones de un solo archivo cuando cambie cualquier archivo en su volumen TrueCrypt: todo el volumen tendrá que volver a subir.
• En última instancia, todo depende de su nivel de comodidad y de cuánto confía tanto en las redes en las que vive como en el servicio y sus empleados.

Como en la otra respuesta, consulte primero con los abogados de su empresa. Incluso si fuera 100% seguro, puede que no les guste tener secretos almacenados en otro lugar del que tengan que preocuparse.

Puede usar BoxCryptor para cifrar automáticamente todos los archivos que se cargan en Dropbox.

Recomiendo KeePass (Classic Edition) para almacenar cosas como contraseñas o información de tarjetas de crédito. Es liviano y soportado en casi cualquier plataforma (a través de Puertos y Compilaciones Contribuidos / No Oficiales KeePass). El cifrado es Rijndael (AES) .

(No estoy afiliado)

Debo señalar que, con respecto a los borradores de artículos científicos, la mayoría de las instituciones de investigación (universidades / colegios incluidos) tienen políticas de almacenamiento de datos muy estrictas, y el almacenamiento de sus documentos fuera del sitio probablemente sea una violación de esa política. Antes de hacer algo así, verifique con un administrador sénior o alguien que sepa lo que dice esa política, ya que puede obtener su financiamiento si comete ese tipo de error.

Dropbox no tiene una buena seguridad ni en los aspectos de confidencialidad ni de disponibilidad, por lo que si sus datos son confidenciales o deben estar disponibles en todo momento, debe hacer algo al respecto usted mismo.

Por confidencialidad, encripte: truecrypt funciona bien con Dropbox

Para disponibilidad, mire múltiples alternativas.

Independientemente de lo que ponga en Dropbox, suponga que algún día estará expuesto al público. Porque eso es lo que sucedió ayer durante 4 horas. Aplique su propia elección de cifrado antes de almacenar cualquier cosa en Dropbox.

Es posible que desee leer este artículo de InformationWeek . Informa que ha habido acusaciones de posibles problemas de seguridad y privacidad con DropBox debido a sus procedimientos de deduplicación. DropBox responde que sus empleados tienen acceso limitado, si es que tienen acceso a los archivos de los usuarios, aunque algunos “necesitan”, y que han resuelto algunos problemas, pero no sobre su capacidad para rastrear y rastrear qué usuarios cargaron qué, y sus informes políticas a las autoridades. El cofundador de PGP, el popular protocolo de cifrado, ha eliminado su cuenta de DropBox y los acusa de no cifrar realmente los archivos (aunque probablemente esté hablando de cómo DropBox usa una clave global en lugar de claves separadas para cada usuario, lo que, por supuesto, sería mucho más seguro) .

No es sorprendente que todo se reduzca a los archivos reales que desea almacenar y lo importante que son para usted. Al final, debe hacer una llamada de juicio personal basada en la información disponible.

Mientras tenga una contraseña razonablemente segura, ¿es probable que alguien que conozca mi dirección de correo electrónico pueda hackearla?

Parece que la contraseña es completamente irrelevante : Dropbox tiene, en el pasado ( un ejemplo ampliamente publicitado incidente ocurrió en 2011-06-19, oficial de Dropbox respuesta aquí ), aceptada como válida cualquier contraseña, por un período prolongado de tiempo - es decir , cualquiera podría haber iniciado sesión como usted, solo conociendo su nombre de usuario .

Esto, además del cambio reciente en la política de seguridad (que dice, esencialmente, "podemos acceder a sus archivos ahora, a pesar de nuestras declaraciones anteriores en sentido contrario"), significa una cosa:

NO, no es más seguro que tener esos archivos a disposición del público : no puedo encontrar ningún tipo de garantía de que mañana no vuelva a ocurrir un problema similar, y la arquitectura del sistema no parece proteger sus archivos por sí misma (y depender de protección externa, como if(password_ok = 1)obtener, uh, acceso gratuito para cualquier persona).

En otras palabras: aparentemente no existe ningún cifrado útil (a pesar de las afirmaciones anteriores), por lo tanto, debe tratar los archivos como si estuvieran a la vista. Por lo tanto, si planea almacenar algo sensible allí, no lo guarde sin cifrar : use algún sistema externo de cifrado (por ejemplo, un archivo contenedor Truecrypt , incluso el wiki de Dropbox sugiere usar eso [sic!]), Y sincronice el contenedor , está cifrado de su lado, y por lo tanto ilegible sin su contraseña de contenedor (que Dropbox no tiene); o use un proveedor de sincronización en la nube diferente que proporcione cifrado real del lado del cliente.

¡No!

Dropbox está obligado a entregar sus datos al gobierno de los EE. UU. Si deciden invocar la Ley Patriota sobre usted por cualquier motivo. También existe la Ley de Comunicaciones almacenados en 1986 del cuarto derechas de la enmienda a la privacidad no se aplican y se puede citar a sus datos por alguna razón, posiblemente razonable.

Incluso si encripta sus datos y los coloca en Dropbox, es probable que esas personas amigables en el gobierno oscuro puedan leer sus datos si realmente lo desean. Independientemente del último y mejor esquema de cifrado, en la vida real entran en juego los mismos factores que abrieron los códigos Enigma de la Segunda Guerra Mundial: su documento científico / propuesta comercial / imágenes comenzarán con los mismos bytes que la última vez que los cargó, tal vez no ¡Heil Hitler! pero, sin embargo, suficiente contenido duplicado para que los descifradores de códigos profesionales lleguen a su clave privada.

Desde el lado estadounidense del estanque, las preocupaciones sobre la Ley Patriota pueden parecer ridículas. Sin embargo, en el Reino Unido, es bastante razonable y se considera la mejor práctica no almacenar información personal en servidores de EE. UU. Incluso si esta información es completamente inofensiva, por ejemplo, una base de datos de clientes. Una y otra vez, las agencias de espionaje de los EE. UU. Han demostrado ser poco confiables, entonces, ¿por qué confiar en sus datos con empresas a las que pueden acceder? A veces es el principio lo que importa, no sus datos. Me decepciona que esto no se haya mencionado en las respuestas proporcionadas en este hilo (hasta la fecha).