Time Machine / FileVault / Dropbox / Google कितना सुरक्षित है?

6

हाल ही में, मैं कुछ हद तक अपने कंप्यूटर की सुरक्षा के साथ व्यस्त रहा हूँ। ऐसा नहीं है कि मेरे पास छिपाने के लिए वास्तव में कुछ था, लेकिन मैं नहीं चाहता कि कोई भी मेरे डेटा को टाल दे।

इसलिए, मैंने OSX में फाइल वॉल्ट की स्थापना की, जो प्रभावी रूप से न्यूनतम उपद्रव के साथ मेरे सभी डेटा को एन्क्रिप्ट करता है। पासवर्ड कुछ लंबे समय के लिए सेट है जो केवल मुझे पता है और सिस्टम पासवर्ड कुछ समान रूप से मजबूत और सुरक्षित है। सिस्टम पासवर्ड हालांकि स्थापित डिस्क का उपयोग करके रीसेट करने योग्य है, इसलिए यह अनिवार्य रूप से इसके बारे में बहुत अधिक ध्यान देने के लिए बेकार है। क्या आप जानते हैं कि सिस्टम पासवर्ड रीसेट करने से फाइलवॉल्ट पासवर्ड एक्सेस हो जाता है? यह मूल रूप से फाइल वॉल्ट को बेकार कर देगा।

इसके अतिरिक्त, मुझे बैकअप समाधान की आवश्यकता है, इसलिए मैंने टाइम मशीन और ड्रॉपबॉक्स दोनों को सेट किया। अब मेरा सवाल है: ड्रॉपबॉक्स खाते का पासवर्ड मेरे विंडोज 7-मशीन के ब्राउज़र और मेरे आईफोन पर ड्रॉपबॉक्स-ऐप में सहेजा गया है। जबकि दोनों पासवर्ड से सुरक्षित हैं और मेरी फ़ाइलों की वास्तविक प्रतियां नहीं हैं, मैं यह आंकता हूं कि ये मेरी डेटा सुरक्षा की सबसे कमजोर कड़ी हैं।

क्या आपको लगता है कि इस सेट अप में सुधार करने का एक सरल तरीका है? या आपको लगता है कि मैं यह पहले से ही जुनूनी है?

security  dropbox  boot-camp  filevault 
bastibe
स्रोत
1
एक साइड नोट के रूप में: टाइम मशीन आपके फ़ाइल वॉल्ट फोल्डर का बैकअप नहीं लेगा जब तक कि आप लॉग ऑफ नहीं करते। support.apple.com/kb/HT3446 - आप अपने घर निर्देशिका में संग्रहीत डेटा एन्क्रिप्ट करने के लिए FileVault चालू कर सकते हैं। यह डेटा बैकअप में भी एन्क्रिप्ट किया जाएगा। [..] FileVault का उपयोग करते समय, आप टाइम मशीन ब्राउज़र के माध्यम से अपने घर निर्देशिका में व्यक्तिगत फ़ाइलों को पुनर्स्थापित नहीं कर सकते। हालाँकि, आप Mac OS X इंस्टालर की बैकअप सुविधा से पुनर्स्थापना प्रणाली का उपयोग करके सभी फ़ाइलों और फ़ोल्डरों को पुनर्स्थापित कर सकते हैं। महत्वपूर्ण: टाइम मशीन बैकअप तभी करेगी जब आप अपने फाइल वॉल्ट-संरक्षित खाते से लॉग आउट हो जाएंगे।
Arjan

जवाबों:

5

मुझे यकीन नहीं है कि आप "सिस्टम पासवर्ड" से क्या मतलब है। यदि आप पासवर्ड के बारे में किसी व्यवस्थापक खाते या रूट से भी बात कर रहे हैं, तो यह कोई समस्या नहीं है; फ़ाइलवॉल्ट सुरक्षा समग्र ओएस सुरक्षा से पूरी तरह से स्वतंत्र है (अच्छी तरह से, एक अपवाद के साथ: यदि कोई व्यक्ति बॉक्स को हटा देता है, तो एक keylogger की तरह कुछ स्थापित करता है, तो इसे वापस आपको सौंप देता है और लॉग इन करते ही आपका FV पासवर्ड पकड़ लेता है)।

OTOH, यदि आप जिस "सिस्टम पासवर्ड" के बारे में बात कर रहे हैं, वह है कि सुरक्षा वरीयताएँ "मास्टर पासवर्ड" कहती हैं, तो जो कोई भी यह अनुमान लगाता है कि आपके FV में एक आसान बैकडोर है। पर ये नहीं स्थापित डिस्क, या किसी अन्य विधि के साथ पुन: प्रयोज्य जो इसे शुरू करने के लिए जानना शामिल नहीं करता है। तो यह वास्तव में एक चिंता का विषय नहीं है।

अब, बैकअप सुरक्षा पर: टाइम मशीन एक समस्या नहीं है (चेतावनी के साथ अर्जन का उल्लेख है, कि आप लॉग इन करते समय अपना खाता वापस नहीं कर सकते) क्योंकि यह एन्क्रिप्टेड डेटा का बैकअप देता है, इसलिए यह अनिवार्य रूप से समान सुरक्षा है वह एफवी ही है। जब आप बहाल करते हैं, तो आपको कुछ मामूली झुंझलाहट होती है, क्योंकि टीएम का स्लीक रिस्टोर इंटरफ़ेस बैक-अप एफवी में नहीं देख सकता है, इसलिए आपको मैन्युअल रूप से बैक-अप छवि को माउंट करना होगा और फिर इसे हाथ से रूट करना होगा। (ठीक है, एक और मामूली योग्यता: चूंकि टाइम मशीन एन्क्रिप्ट किए गए डेटा के कई संस्करणों को संग्रहीत करेगा, इसलिए एफवी के अंदर क्या हो रहा है, इसके बारे में कुछ बताना संभव है कि एन्क्रिप्टेड संस्करण कैसे बदलता है; मैंने किसी को भी विश्लेषण नहीं देखा है। इस प्रकार के हमले के प्रतिरोध के लिए एफवी।)

TFM का मूल रूप से बैकअप के बारे में अधिकार है जिसका आपके पास नियंत्रण नहीं है, अगर आप अपनी फ़ाइलों के अनएन्क्रिप्टेड संस्करण का बैकअप ले रहे हैं। यदि आप FV एन्क्रिप्टेड संस्करण का बैकअप ले रहे हैं, तो आप TM जैसी स्थिति में वापस आ गए हैं: यह (अधिकतर) स्वचालित रूप से सुरक्षित है, लेकिन आपको लॉग आउट करते समय बैक अप करने में सक्षम होने की झुंझलाहट मिली है, और कुछ भी बहाल करने का मतलब एक डाउनलोड करना होगा संपूर्ण FV छवि का स्नैपशॉट, मैन्युअल रूप से बढ़ते, आदि।

मैं एन्क्रिप्टेड ऑनलाइन बैकअप के लिए डिज़ाइन किए गए प्रोग्राम को देखने की सलाह दूंगा; सही किया, यह आपकी मशीन को छोड़ने से पहले सब कुछ एन्क्रिप्ट करता है (इसलिए आप रिपॉजिटरी की सुरक्षा पर निर्भर नहीं हैं) और अभी भी इसे पुनर्स्थापित करना आसान है। दुर्भाग्य से, मैंने एक विशिष्ट समाधान की सिफारिश करने में सक्षम होने के लिए आवश्यक शोध नहीं किया है जो "यह सही करता है" (और मुझे यकीन है कि बहुत सारे हैं जो इसे गलत करते हैं)।

Gordon Davisson
स्रोत
ड्रॉपबॉक्स सेस: * फ़ाइल डेटा और मेटाडेटा का सभी प्रसारण एक एन्क्रिप्टेड चैनल (एसएसएल) पर होता है। * ड्रॉपबॉक्स सर्वर पर संग्रहीत सभी फाइलें एन्क्रिप्टेड हैं (एईएस -256) और आपके खाते के पासवर्ड के बिना दुर्गम हैं। ड्रॉपबॉक्स कर्मचारियों को उपयोगकर्ता फ़ाइलों तक पहुंचने की अनुमति नहीं है, और जब खाते में समस्या आती है तो उनके पास केवल मेटाडेटा (फ़ाइल नाम, फ़ाइल आकार) तक पहुंच होती है। आदि, फ़ाइल सामग्री नहीं) यह उचित लगता है। सवाल शायद यह है, अगर यह मेरा पीसी है जो एन्क्रिप्शन करता है या यदि यह ऑनलाइन किया जाता है।
bastibe
1
ड्रॉपबॉक्स की टिप्पणी को सत्यापित करने का कोई तरीका?
TFM
अभी भी बेहतर है, यह सत्यापित करने का कोई तरीका कि आपका डेटा सरकारी निरीक्षण से सुरक्षित होगा?
Everett
@Everett के अस्तित्व को देखते हुए राष्ट्रीय सुरक्षा पत्र , मुझे पूरा यकीन है कि इसका जवाब "नहीं" है। और अन्य देश (अमेरिका की तुलना में) कभी-कभी और भी बदतर होते हैं ... भले ही मैं व्यक्तिगत रूप से राष्ट्रीय सुरक्षा या यहां तक ​​कि आपराधिक जांच का लक्ष्य होने की उम्मीद नहीं करता, किसी और के लिए एन्क्रिप्शन कुंजी रखने का विचार मेरे डेटा सिर्फ सादे मुझे परेशान करता है।
Gordon Davisson
5

ड्रॉपबॉक्स जैसे तीसरे पक्ष के समाधान को हमेशा असुरक्षित माना जाना चाहिए, क्योंकि आप अपना डेटा किसी कंपनी के हाथों में छोड़ देते हैं जिसे आप "देख या स्पर्श" नहीं कर सकते। ऐसी कंपनियाँ किसी दूसरे देश के कानूनों के तहत काम कर सकती हैं, जो उस देश की तुलना में अलग-अलग अनुमति देती है / मना करती है, और इसलिए दुरुपयोग के मामले में किसी भी कानूनी कार्रवाई को लगभग असंभव बना देती है।

इसके अलावा, कंपनियों को बेचा और खरीदा जाता है। एक ऑनलाइन समाधान प्रदान करने वाले एक प्रतिष्ठित प्रदाता को खरीदा जा सकता है, और डेटा उन लोगों के हाथों में आ सकता है, जिनका मुख्य उद्देश्य इस व्यापार के साथ इस अवसर का शोषण करना है।

मैं यह कहने की कोशिश नहीं कर रहा हूं कि आपको पागल होना चाहिए, लेकिन ऑनलाइन बैकअप / फ़ाइल संग्रहण प्रदाता चुनते समय अपने सामान्य ज्ञान का उपयोग करें। Google कंपनी का नाम, सेवा के बारे में समीक्षाएं पढ़ें, आदि।

TFM
स्रोत
यह टिप्पणी वास्तव में अशुभ है। ड्रॉपबॉक्स एन्क्रिप्शन और अमेज़ॅन एस 3 का उपयोग करता है ताकि आप अभी भी अपनी फ़ाइलों तक पहुंच प्राप्त कर सकें। इसके अलावा, ऊपर देखें पेपरलीयर की टिप्पणी।
Mike McQuaid
1
वैसे, ड्रॉपबॉक्स का कहना है। जब तक मेरे पास सर्वर पर किसी भी एन्क्रिप्शन को सत्यापित करने का कोई तरीका नहीं है, मैं सभी ऑनलाइन बैकअप को "असुरक्षित" मानता हूं।
TFM
2

मैं DropBox की सुरक्षा के बारे में थोड़ा बहुत जानता हूं। आँकड़े है S3 पर एन्क्रिप्ट किया गया है, लेकिन DropBox आपके पास नहीं, एन्क्रिप्शन कुंजी रखता है। (इसलिए यदि वे चाहते हैं तो सांप कर सकते हैं)। यदि आप चाबियाँ पकड़ना चाहते हैं, तो आपको जंगलडिस्क या इसी तरह की आवश्यकता है। बेशक आपकी तरफ चाबी होने का नकारात्मक पक्ष है ... यदि आप उन्हें खो देते हैं तो आप खराब हो जाते हैं।

2

मैं सुझाव दूंगा कि क्या आप ड्रॉपबॉक्स का उपयोग किसी भी संवेदनशील जानकारी के क्लाउड स्टोरेज के लिए करना चाहते हैं जो आप अपने ड्रॉपबॉक्स में ट्रू क्रिप्टो वॉल्यूम / फ़ोल्डर बनाते हैं। यह कैसे करना है पर ड्रॉपबॉक्स पर निर्देश हैं। वास्तव में, सुरक्षा समस्याएं अभी ऑनलाइन मीडिया में ड्रॉपबॉक्स को कम कर रही हैं और ड्रॉपबॉक्स के साथ ट्रू क्रिप्टक्रिप्ट का उपयोग करने के बारे में कई ब्लॉग / लेख हैं जो आपको खोज करने पर Google पर उच्च रैंक चाहिए। (लाइफहाकर ने हाल ही में इसके बारे में ब्लॉग किया है।)

RobPaller
स्रोत
1

एकमात्र सेवा, 2007 के बाद से, मुझे पता है कि आप कहाँ आराम कर सकते हैं एक डेटा-उल्लंघन का आश्वासन दिया जा सकता है नहीं अपने किसी भी डेटा को प्रकट करें spideroak.com पर समीक्षा करें http://freelanceswitch.com/general/backup-your-computer-spideroak-review/ बताते हैं:

"निश्चित रूप से हर बैकअप सेवा एन्क्रिप्टेड बैकअप प्रदान करती है, लेकिन स्पाइडरऑक अपनी शून्य-ज्ञान गोपनीयता नीति के साथ चीजों को एक कदम आगे ले जाता है। इसका मतलब है कि आपकी फाइलें स्पाइडरऑक के कर्मचारियों से भी एन्क्रिप्ट की गई हैं।" और दुनिया में बाकी सब से आप को उत्पन्न करने वाली कुंजी का उपयोग करके आप को छोड़कर।

Spideroak सॉफ़्टवेयर के लिए स्रोत-कोड उपलब्ध है, इसलिए इसे संभवतः एन्क्राइप्टीशन की गणितीय निश्चितता के साथ सत्यापित करना चाहिए, और यह कि आपको ज्ञात एक कुंजी को डिक्रिप्ट करना आवश्यक है: https://spideroak.com/code बस उस कुंजी को ढीला न करें क्योंकि कोई भी आपको डेटा वापस लाने में मदद नहीं कर सकता है। सामान्य तौर पर, आप किसी नॉन-ओपन-सोर्स प्रॉपर समाधान के साथ किसी बिंदु पर एक ट्रस्ट इश्यू में भाग लेते हैं। जो ओपन-सोर्स समाधान के साथ एक बहुत मजबूत बिंदु है। मैं किसी भी सिस्टम के लिए किसी भी संवेदनशील डेटा (टैक्स रिटर्न, मेडिकल रिकॉर्ड) पर भरोसा नहीं करूंगा, जिसके लिए स्रोत कोड उपलब्ध नहीं था।

आप निश्चित रूप से एन्क्रिप्टेड फ़ाइलों या फ़ाइल-कंटेनरों का उपयोग कर सकते हैं जैसे कि ट्रू क्रिप्ट ड्रॉपबॉक्स, गूगल और अन्य के साथ। लेकिन यह अपने स्वयं के हार्डवेयर पर मक्खी पर encrpytion अर्थात् spideroak पद्धति की तुलना में अव्यवस्थित अतिरिक्त कदम है। और अगर iPhone (जहां एक स्पाइडरोक ऐप है!) पर करना असंभव नहीं तो मुश्किल होगा।

vanilla
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.