在 Dropbox 中保存半敏感信息是否安全？

Question

我不会相信 Dropbox 有我的银行详细信息等（因为有很多人在寻找此类信息），但是保留对少数人可能有价值的东西是否安全？例如，商业敏感信息、科学论文草稿、我辅导的大学评估答卷等。

我可能遗漏了有关隐私或存储信息所有权的细则中是否有任何相关内容？

只要我有一个相当强的密码，知道我的电子邮件地址的人就有可能破解它吗？

Answer 1

Dropbox 的服务条款声明他们不主张所有权，而且他们似乎有很好的安全性。为了重置您的密码，Dropbox 会向您发送一封包含重置代码的电子邮件。有人需要访问您的电子邮件帐户、密码或您设置了 Dropbox 的计算机才能访问您的文件。

如果您想要更高的安全性，您可以在上传文件之前使用TrueCrypt对其进行加密。只要您不将文件放在公共文件夹中，无论如何您都应该是安全的。

PS 我建议在将机密信息上传到任何地方之前先咨询贵公司的律师，以防万一。

+1 表示 truecrypt，虽然 dropbox 的安全性似乎做得很好，但如果您的数据是敏感的，则不应将其上传 * 任何地方 * 未加密。 (4认同)
我使用带有 500MB truecrypt 容器的 dropbox。很棒：如果我在那里放一些东西，只有更改会同步（卸载后！）---这并不困难，但也不是微不足道的。有时我会在下载第二个容器时收到冲突文件。安装并同步它们后，我删除其中之一。因此，对于新手用户来说，这是一个完美的工具。 (3认同)
我不同意 Dropbox 具有*良好* 安全性——这需要将加密密钥保存在客户端上，或者至少使用您的密码对其进行加密。当然，如果您忘记密码，这会阻止访问您的文件等功能，但这仍然意味着它们的安全性至多是“体面的”。我肯定会使用一些加密方案（我使用 [encfs](http://www.arg0.net/encfs) 因为它分别加密每个文件，在我看来这不太安全但更方便）如果我把商业敏感信息。 (2认同)

Answer 2

这完全取决于您对什么级别的“安全”感到满意。这里有几点需要考虑：

Dropbox 中的所有（或部分）文件也存储在本地。您可以选择在其他机器上同步 Dropbox 的部分内容，但您某处的一台机器具有完整状态。这意味着，如果您的机器丢失了，您就干杯了，因为该信息未加密或不安全。
Dropbox 的安全性只有人类可能做到的，甚至可能没有那么多。（例如：Dropbox 员工可以看到您的内容，并会在询问时将其移交给政府。他们曾经说他们不能这样做，但后来他们改变了说法。）
Truecrypt 非常适合与 Dropbox 结合使用。但是请注意，当您的 TrueCrypt 卷中的任何文件发生更改时，Dropbox 将无法进行单个文件更新——整个卷将不得不再次被推高。
归根结底，这一切都取决于您的舒适度以及您对所居住的网络、服务及其员工的信任程度。

与其他答案一样，请先咨询贵公司的律师。即使它是 100% 安全的，他们也可能不喜欢将秘密存储在另一个他们不得不担心的地方。

作为 Dropbox 和 TC 用户，我发现说加密容器内的更改*将*重新上传整个容器并不完全正确：与未加密文件相比，传输的数据量会更大，但仅限于 DB上传文件的更改部分 - 并且使用足够大的 TC 容器，加密卷上文件的相对较小更改不会导致整个容器更改（容器更改的部分明显大于这些文件占用的部分）。虽然理论上是一个侧信道，但它有助于传输大小。 (2认同)

Answer 3

您可以使用BoxCryptor自动加密所有上传到 Dropbox 的文件。

注意侧通道：文件名（和扩展名）是可见的；使用弱密码，这可能会开辟比暴力破解更快的途径（例如，各种格式的标头是众所周知的，因此是部分已知的明文攻击）。对于大多数人来说，这是不太可能发生的，但了解这一点是件好事。（但它确实看起来很整洁，对于随意的窥探者来说绝对足够好；还要注意有跨平台支持） (2认同)

Answer 4

我推荐使用KeePass（经典版）来存储密码或信用卡信息等内容。它是轻量级的，几乎在任何平台上都受支持（通过贡献/非官方 KeePass 端口和构建）。加密是Rijndael (AES)。

（我没有附属）