L’emmagatzematge al núvol és el futur de la logística de la informació, però, fins a quin punt són segurs aquests llocs d’emmagatzematge al núvol?
Si us deixés influir exclusivament per les publicacions tecnològiques més tabloides, amb titulars que cridaven sobre bases de dades piratejades, contrasenyes compromeses i proves de dades de serveis secrets, no tocaríeu el núvol amb un bargepole.
Veure relacionat Per què NO canvio la contrasenya mestra de LastPass Els cinc hacks més grans de tots els temps
es pot jugar mort a la llum del dia amb els amics
La veritat és que els serveis al núvol no són tan insegurs com es fan notar els titulars que criden de tant en tant. De fet, hi ha molt a dir sobre l’argument que Dropbox, iCloud, Google Drive i OneDrive tenen els diners i la motivació per fer que els seus magatzems de dades siguin molt més segurs del que es podria esperar amb el vostre escàs pressupost.
Vegem, doncs, aquests quatre serveis, però primer hem d’eliminar algunes coses. No es tracta d’una revisió d’aquests serveis; si voleu saber quins són els detalls dels serveis al núvol, consulteu el nostre article: Dropbox vs OneDrive vs Google Drive.
Quina seguretat tenen els llocs d’emmagatzematge al núvol?
Quina seguretat té Dropbox?
Dropbox ha sobreviscut als ensurts de seguretat i ha endurit la seva postura de seguretat en conseqüència
Dropbox va deixar caure la pilota el 2012 pel que fa a seguretat quan va admetre que s’havia utilitzat una contrasenya compromesa per accedir a un compte Dropbox d’un empleat que donava accés a un document que contenia algunes adreces de correu electrònic d’usuaris que després es van enviar correu brossa.
Tanmateix, les dades emmagatzemades mai no van estar en risc, però van servir de trucada per saber com poden afectar els danys reputacionals en un negoci al núvol. Des d’aleshores, Dropbox ha millorat el joc a la part d’inici de sessió, amb la verificació opcional en dos passos (mitjançant missatges de text o aplicacions de contrasenya única basades en el temps) que afegeix una capa de seguretat addicional als comptes d’usuari.
Com la majoria de serveis al núvol, els empleats de Dropbox no poden veure el contingut dels fitxers que emmagatzemeu, però poden accedir a les metadades si ho necessiten per proporcionar assistència tècnica, per exemple. Dropbox deixa clar, però, que un nombre reduït d’empleats poden accedir als fitxers emmagatzemats si ho requereixen per motius legals.
Les dades en trànsit es xifren mitjançant Secure Sockets Layer (SSL) i en repòs mitjançant xifratge AES-256 bits al qual Dropbox manté les claus. Els dispositius perduts o robats es poden 'desenllaçar' fàcilment del vostre compte per mitigar encara més el risc d'accés no autoritzat.
La versió empresarial, Dropbox Pro, afegeix la possibilitat d’habilitar els permisos dels espectadors per a un ús col·laboratiu i establir tant contrasenyes com caducitats per als enllaços compartits, cosa que endureix la postura de seguretat dels usuaris avançats.
Quina seguretat té iCloud?
La verificació en dos passos és imprescindible per a qualsevol usuari del núvol conscient de la seguretat
Tot i que Apple iCloud es va cremar l’any passat quan els pirates informàtics van robar fotos de famosos i les van publicar en línia, no es tractava d’un cas d’iCloud que era insegur i, més aviat, de les celebritats que comprometien les seves contrasenyes AppleID mitjançant atacs de pesca amb èxit en altres llocs.
De fet, Apple té una bona reputació pel que fa a la seguretat en tots els seus dispositius, però, com es tradueix en serveis al núvol?
Bé, Apple diu que les dades es xifren tant en trànsit (mitjançant SSL) com en repòs al servidor. En lloc d’utilitzar el xifratge AES-256 bits a tot arreu, però, utilitza un mínim de 128 bits AES que és considerablement menys segur. L'únic que puc veure on s'utilitza 256 bits és per al clauer iCloud (que s'utilitza per emmagatzemar i transmetre dades de contrasenyes i targetes de crèdit, que també utilitza criptografia asimètrica de corba el·líptica i embolcall de claus que és bo), així que heu d'assumir la resta de dades està protegit per un xifratge més feble que no és especialment encoratjador.
Tot i això, les claus de xifratge del clauer de l’iCloud es creen als vostres dispositius i Apple no hi pot accedir. Apple diu que no pot accedir a cap material bàsic que es podria utilitzar per desxifrar aquestes dades clau i que només els dispositius de confiança que heu aprovat poden accedir al vostre clauer iCloud.
Les fitxes segures s’utilitzen per a l’autenticació quan s’accedeix a iCloud des d’altres aplicacions d’Apple (com ara Mail i Calendar) i hi ha una verificació opcional en dos passos (que es pot activar a https://appleid.apple.com/account/home) mitjançant missatge de text o codi generat per dispositiu per fer canvis a la informació del compte o iniciar la sessió a iCloud des d’un dispositiu nou.
Quina seguretat té Google Drive?
Un compte hi accedirà a tots; per tant, és primordial assegurar el vostre inici de sessió
Google també ha estat víctima dels esglaons de seguretat que comprometen la contrasenya que afecten tants serveis. L’any passat es va afirmar que s’havien piratejat prop de 5 milions de comptes de Gmail quan es va llançar una base de dades en un fòrum de seguretat rus.
Com que Google Drive utilitza el mateix compte de Google per iniciar la sessió que Gmail, el perill era que tot resultés compromès. Tanmateix, va resultar que l’abocament contenia contrasenyes antigues de pesca i que, com a màxim, el 2% podria haver funcionat, però de totes maneres Google les va restablir.
afegir un tipus de lletra a Google Docs
El que il·lustra és quina part de la seguretat d’un servei com Google Drive, que utilitza un únic compte per accedir a diversos serveis, depèn de l’usuari que protegeixi aquest inici de sessió. Ara Google utilitza HTTPS en tots els seus serveis, cosa que cal aplaudir, i també implementa 'mesures internes' per tenir en compte l'activitat potencial d'inici de sessió del compte compromesa.
A més, Google ofereix una verificació en dos passos, com la resta de serveis aquí esmentats. Pel que fa a les vostres dades, es xifren durant el trànsit (des del dispositiu i des del vostre dispositiu i també entre centres de dades de Google) mitjançant SSL, però només s’emmagatzemen en repòs mitjançant AES de 128 bits com iCloud.
Quina seguretat té OneDrive?
El xifratge en repòs està disponible a OneDrive, però només per a usuaris empresarials
Tot i que Microsoft Windows és la plataforma objectiu número u per a pirates informàtics i cibercriminals, fins ara OneDrive (anteriorment anomenat SkyDrive) s’ha mantingut força lliure de titulars d’incompliments greus.
Vol dir que és el servei més segur que hem cobert aquí? Realment no, ja que cap d’ells no ha patit cap violació directa de dades (en lloc d’accés compromès per l’usuari) que ens hagi cridat l’atenció.
Gran part de la preocupació pública que envolta la seguretat de OneDrive és en realitat aquelles coses relacionades amb l’error de l’usuari; els permisos per compartir fitxers i la inseguretat de la contrasenya són incorrectes. De fet, els fitxers no es comparteixen amb altres persones tret que els deseu a la carpeta Pública o que vulgueu compartir-los.
Microsoft es reserva el dret d’escanejar els vostres fitxers en busca de 'contingut desagradable' (igual que Apple iCloud), que podria provocar la supressió de les dades i del vostre compte. Molts veuen això com una raó per mirar en un altre lloc, ja que la seguretat dels fitxers no es pot garantir si el proveïdor de contingut ho considera desagradable.
Pel que fa a la seguretat de les dades fora de l’àmbit espionatge, mentre les dades es xifren en trànsit mitjançant SSL, romanen sense xifrar en repòs. Tret que sigueu usuari de OneDrive for Business des de finals de l'any passat, Microsoft va introduir el xifratge per fitxer que xifra els fitxers individualment cadascun amb una clau única; de manera que si es comprometia una clau, només accediria a un fitxer individual en lloc de a tota la botiga.
Tot i això, tots els usuaris de OneDrive tenen accés a la verificació en dos passos, cosa que protegeix encara més l’inici de sessió mitjançant l’aplicació One Time Code o el missatge de text.
Què tan segur és l’emmagatzematge al núvol: resum
Tot i que el núvol segueix sent per a molts una quantitat desconeguda pel que fa a seguretat, la veritat és que la seguretat de les dades mai no és en blanc i negre, sinó més aviat cinquanta tonalitats de gris.
Obtenir una solució d’emmagatzematge de dades 100% segura és similar a agafar la vostra ombra; us podeu acostar molt, però mai no ho fareu. Per tant, heu de determinar què hi ha “prou a prop” pel que fa als serveis al núvol. Aquesta decisió es pot decidir per a vosaltres si sou una empresa regulada i que ha de complir els requisits de compliment, i això pot significar que no totes les vostres dades es poden emmagatzemar al núvol.
Tanmateix, per als consumidors i per a la majoria d’usuaris de petites empreses, el núvol és actualment força segur. El xifrat de dades és, si disculpeu el joc de paraules, la clau aquí. Gairebé totes les botigues de núvol xifren les dades en trànsit, és a dir, quan es transfereixen dins i fora del núvol, i algunes (normalment si compreu la versió comercial del servei) les xifraran en repòs o mentre s’emmagatzemen, també.
Tot i que les dades no es xifren en repòs, o si és el proveïdor de núvol que gestiona les claus, vol dir que les dades poden indexar-se, duplicar-se, comprimir-se i restaurar-se fàcilment en un cas pitjor, també significa que les vostres dades no són ' T tan segur com d'una altra manera podria ser.
Si realment voleu assegurar-vos que no es poden veure les vostres dades, encripteu-les vosaltres mateixos ABANS d’enviar-les al proveïdor d’emmagatzematge al núvol. Si teniu el control de les claus, 'els homes de negre' no els podran demanar prestats per fer una ullada ràpida sense que ho sàpiga.
Prendre el control de la vostra pròpia seguretat de dades mitjançant un servei de xifratge instantani, com BoxCryptor, per exemple, és un bon pas cap a la mitigació del risc al núvol. Una altra és ser conscient que l’enllaç de seguretat més feble no és el proveïdor de núvol, sinó vosaltres mateixos. Seguiu les pràctiques recomanades de seguretat en termes de construcció i ús de contrasenyes (no torneu a utilitzar les contrasenyes entre tots els serveis), a més d’utilitzar l’autenticació de dos factors quan estigui disponible i el vostre nivell de mitigació del risc sigui encara millor ...
