在经历了太多数据泄露事件之后,Dropbox 的安全性到底如何?

世界上最大的云存储解决方案之一在安全和隐私方面是否真的有保障?

你想知道 Dropbox 是否安全并不奇怪,毕竟它也有过安全丑闻。在本指南中,我们将介绍 Dropbox 的安全功能,让您了解云存储的真正安全性和私密性。


Dropbox 于 2008 年发布,并迅速成为一个流行的云存储名称,到 2021 年注册用户已达 7 亿。如果你是 Dropbox 用户,你很可能知道这家大型科技文件托管服务公司多年来的数据泄露和丑闻。虽然 Dropbox 是一家很受欢迎的大型科技服务提供商,但如今有许多替代存储服务提供商与 Dropbox 类似,甚至比 Dropbox 更好、更安全。如果你想知道 Dropbox 是否 100% 安全和私密,那你就来对地方了。作为隐私专家,我们将对 Dropbox 的隐私和安全功能进行分析,以帮助您判断 Dropbox 是否仍然值得信赖。

我们以前说过,现在还要再说一遍—受欢迎并不意味着更好,不幸的是,受欢迎几乎从来不意味着隐私。尤其是涉及到您的私人信息和个人数据时。多年来,Dropbox 一直是领先的云存储提供商之一,在经历了种种起起落落之后,Dropbox 事实上仍然没有使用端到端加密技术,而且令人遗憾的是,它并不能保护你的隐私。

简而言之,这意味着总部设在美国的公司可以随时访问并查看你的文件。因此,尽管 Dropbox 可能会投入巨资保护你的数据免受外部攻击,但这并不意味着它不会受到内部窥探。请继续阅读,我们将详细介绍它的安全和隐私功能。

目录:

在寻找合适的云存储提供商时,就像寻找电子邮件一样—一鞋难求。在选择完美的云服务提供商时,您需要考虑很多因素,而在我看来,最重要的是安全性和隐私性。

在谈到数据安全性时,我指的是您的数据受到保护的程度。如果提供商不能保护您的个人数据不被外部和内部利用,那么它又有多安全呢?当您的文件从个人设备传输到云端,并存储在云服务器上时,数据安全性就开始发挥作用了。隐私与安全同样重要,指的是谁可以访问您的私人信息,如果可以访问,您的提供商如何使用您的个人数据。

我们可以说,云存储的基准或黄金标准是零知识加密,也称为私人端到端加密。通过端到端加密,只有用户才能访问自己的账户和私人信息。遗憾的是,Dropbox 不支持任何类型的端到端加密。有了适当的加密,您就能保证只有您自己才能访问您的帐户,因此隐私和安全两项都被选中。

了解 Dropbox 的安全性

在安全方面,当您的文件从您的设备传输到他们的服务器时,以及当您的文件存储在他们的服务器上时,Dropbox 都遵守非常好的协议。正如其网站上提到的,在文件传输过程中,Dropbox 使用安全套接字层 (SSL)/ 传输层安全 (TLS) 加密,这是目前大多数在线服务使用的标准加密协议。TLS/SSL 可在数据在设备和服务器之间传输时为其提供保护—如果没有这种加密,您的数据就很容易受到外部攻击,并会像发送明信片一样被所有人读取。

如果您使用 Dropbox,您的文件会在传输过程中加密,到达后解密,然后再次加密,但这次使用的是256 位高级加密标准 (AES)。当您的数据静态存储在 Dropbox 服务器上时,会受到 AES-256 位加密的保护,这种加密方式也被全球的军队和政府所采用。Dropbox 实施加密的问题在于,它可以获取保护数据安全的私人密钥。因此,这家总部位于美国的公司完全可以访问您的所有数据,因为它可以轻松解密。

Dropbox security protocols Dropbox security protocols

Dropbox 在文件传输过程中使用 SSL/TLS 加密,而在服务器上静止不动时使用 AES-256 位加密。图片来源:DropboxDropbox

虽然 Dropbox 确实使用了标准加密协议,但它不提供端到端加密,这意味着你的文件和私人信息可以在你不知情的情况下被访问。他们可以访问加密密钥,因此理论上,你的私人文件和信息在 Dropbox 是免费的。如前所述,Dropbox 在更广泛的层面上是安全的,但我们不能为它的私密性或提供端到端加密而竖起大拇指。对于 Gmail 或 Outlook 等许多大型科技公司,我们一再看到,它们是安全的,但在隐私方面呢?当然不是!用户隐私并不支持他们基于广告的商业模式。

是的,Dropbox 当然有详细的隐私政策,清楚地说明了他们使用了哪些数据以及如何使用这些数据,但为什么他们一开始就可以访问所有这些数据呢?我们需要信任他们,还是有更安全的选择?

其他安全功能

Dropbox 支持双因素身份验证,为您的登录增加了一层保护。就像现在的许多在线账户一样,除了登录凭据外,您还可以在登录时使用安全密钥或代码来增加额外的保护。 建议使用 2FA,以确保账户安全,避免受到外部攻击,尤其是在凭据泄露的情况下—在 2021 年 Dropbox 的漏洞事件中,7800 万个密码被泄露。

但它真的安全吗?

当我开始在 Tuta 工作时,我很快就了解到,只有当除用户或目标收件人以外的任何人都无法访问信息时,才能实现真正的安全和隐私—通过使用严格的端到端加密协议(如 Tuta 邮件)。通过端到端加密,文件在传输到服务器之前会自动加密。当文件停留在服务器上时,它们将无法访问并受到保护,因此除了拥有加密密钥的用户外,任何人都无法访问它们。

Dropbox doesn't offer Ende-zu-Ende encryption Dropbox doesn't offer Ende-zu-Ende encryption

如果你想对 Dropbox 上的文件进行加密,那就需要更多的技术和技巧了。为此,你需要使用第三方加密工具。图片来源:DropboxDropbox

虽然 Dropbox 默认不提供任何形式的端到端加密,但用户可以选择使用 Veracrypt 等第三方加密工具,这样就可以将加密文件上传到 Dropbox。显然,有一种方法可以绕过端到端加密,但这应该是注册时的默认设置,而不是以隐私权为代价带来的不便。

为了解决这个问题,Dropbox 最近收购了 Boxcryptor,这是一款端到端加密工具,可以让你在将 Dropbox 文件上传到云端之前对其进行加密。不过,目前还不清楚 Dropbox 是否以及如何将这一功能添加到其应用程序中。如果你想进一步了解如何使用 Boxcryptor 加密 Dropbox 文件,请通过 Dropbox 网站联系他们

Dropbox 隐私问题

云存储应该是一个私密存储重要文件和文档的地方。对许多人来说,云存储是备份税务文件、图片和财务文件等重要信息的完美方式,这些信息是你不想在笨重的硬盘坏掉时丢失的。对于拥有大量记录的公司来说,云是存储这些机密信息的理想场所—但对于公司来说,只有在记录保持机密和私密的情况下,才可以选择云。不幸的是,在 Dropbox 的情况下,存储的信息并不私密,没有隐私,我们就不能说用户的文件和数据是保密的。这引起了人们的极大关注。

Dropbox 如何处理用户数据?

Dropbox 在其隐私政策中明确指出,他们会处理你的个人数据,收集并跟踪你的使用情况、设备和 IP 地址,并与亚马逊、谷歌、OpenAI 等 “可信赖 “的第三方以及 Dropbox 旗下的其他公司共享你的个人信息。除了收集您的大量信息外,他们还可以与执法部门和其他第三方共享这些信息,而作为用户,您根本无法控制这些数据共享行为。

Dropbox 管辖权

另一个需要考虑的因素是 Dropbox 的司法管辖权。其总部设在美国,大部分服务器也在美国。Dropbox 在英国、欧盟、日本和澳大利亚也有服务器。遗憾的是,用户无法选择将数据存储在哪里。对于将数据存储在美国的做法,我们是坚决反对的,因为我们都知道,美国没有隐私保护法,当局很容易就能获取数据。

归根结底,这就是一个教训:除非你使用第三方工具对数据进行端到端加密,否则你的数据是不保密的。此外,这家总部位于美国的公司显然还收集了大量用户信息和数据,并与谷歌等可信赖的合作伙伴共享,而谷歌的商业模式正是基于发布有针对性的广告。更重要的是,Dropbox 的代码不是开源的,也不符合顶级隐私和安全标准—默认情况下没有端到端加密。因此,Dropbox 并不是最安全的选择。

幸运的是,现在是 2024 年,与几年前相比,你有了更多注重隐私的云提供商。如果你想放弃 Dropbox,我们推荐这些端到端加密的云提供商,以确保你的私人信息不被泄露。

我们的 Dropbox 替代品列表:

  • Tresorit:瑞士加密云存储提供商,最近被瑞士邮政收购。虽然作为一家独立公司运营,但由于瑞士邮政受瑞士政府控制,这可能会引起人们的担忧。
  • Internxt:总部位于欧盟的道德云存储服务提供商,可替代 Google Drive 等大型技术平台。
  • Mega:Mega是Megaupload的后续品牌,Megaupload是由Kim DotCom领导的备受争议的项目。
  • NextCloud:开源协作和云存储从未如此简单!

如果这些软件不能满足您的需求,或者您希望继续使用 DropBox,那么在将文件上传到云之前,请务必花时间对本地文件进行加密。这种变通方法可以保证信息的安全和可访问性。

无论您选择哪种方式,您的数据现在和将来都需要保持安全。因此,我们正在努力推出自己的后量子加密云存储平台 Tuta Drive。有了 Tuta Drive,您就可以保护自己的数据安全,避免政府监控项目采用 “现在收获,稍后解密 “的策略。我们相信,隐私应该超越通信,您的私人文件也应该得到同样的保护。

让我们一起让互联网变得更好!