Dropbox密码关闭功能凸显了正确数据加密的重要性

近期涉及Dropbox密码关闭功能凸显了正确数据加密的重要性内容备受瞩目，很多读者对此也很有兴趣，现在给大家罗列关于Dropbox密码关闭功能凸显了正确数据加密的重要性最新消息。

由于Dropbox在周末崩溃后意外地关闭了所有用户帐户的密码，试图安抚激怒的客户，因此，用于保护云服务上数据的加密方案的安全性引起了广泛争议。

在线存储公司Symform的首席技术官兼联合创始人巴萨姆·塔巴拉(Bassam Tabbara)对eWEEK表示，公司之所以接受Dropbox这样的在线存储解决方案并不令人“惊讶”，因为它们非常方便并且可以使公司轻松扩展存储容量。但是，Dropbox事件应提醒组织“认真评估”其数据的真正安全性。

Tabbara建议在数据离开企业之前对其进行加密。Dropbox依靠服务器端加密，这意味着文件是在云中而不是本地进行加密的。即使文件传输本身已被加密，因为Dropbox使用基于SSL的HTTP，但在服务器上拥有密钥意味着云提供商将最终控制数据，而不是用户。

云提供商IntraLinks的安全架构师Mushegh Hakhinian告诉eWEEK，密钥管理太“复杂”而无法下推给用户。Hakhinian说：“对最终用户来说，这听起来很不错，因为他们可以完全控制，但这不可避免地意味着他们要承担额外的成本和责任。”

Hakhinian说，需要有一种分层的方法，其中主密钥用于保护用于加密用户数据的其他密钥。更重要的是，公司必须确保将这些密钥安全地存储在数据中心中。

外部存储公司LaCie提供的在线存储服务Wuala遵循Hakhinian提倡的分层方法。Wuala的首席技术官Luzius Meisser在公司博客6月21日写道：“在将文件发送到云之前对其进行加密，使Wuala本质上比依赖于服务器端加密的解决方案更安全。”然而，Meisser拒绝声称这一点系统是“ 100%安全”。

迈塞尔告诉eWEEK：“如果用户选择一个容易猜到的密码，例如'12345'，则安全性受到一定限制。”

这是因为Wuala从用户名和密码派生出主密钥来加密存储在Wuala服务器上的文件。该文件包含属于该用户的所有加密文件的列表及其唯一密钥。主列表使用主密钥加密。Meisser说，Wuala所拥有的都是已经用主密钥加密的文件，该文件每次用户登录时都会从用户的本地计算机生成。Meisser说，Wuala不会在服务器上存储密码，也不会在本地存储为Cookie，因此任何人都无法在没有正确登录凭据的情况下访问存储在服务器上的信息。

迈塞尔说：“我们不能将用户的数据暴露给他人(无论是偶然还是有意)。”

Meisser说，诸如Dropbox所发生的问题之类的问题与Wuala之类的服务无关，因为在将文件上传到Wuala的服务器之前，这些文件已经在用户的本地计算机上进行了加密。如果未经授权的用户偶然偶然发现了Wuala帐户，则文件将被加密并且无法访问。

Credant Technologies产品经理Geoff Webb告诉eWEEK，组织越来越多地使用Dropbox之类的服务，这些服务通常由在家中使用该产品的员工所驱动，他们希望有一种安全的方式来回移动数据。Webb说，Dropbox和类似的服务很有用，但是组织绝对不应该依赖第三方提供的控制来保证其安全性。

Tabbara说，组织应该了解如何对数据进行加密，使用哪些密钥以及如果密钥丢失将危害什么。Hakhinian表示同意，并指出许多提供商声称已经实现了“军用级AES-256加密”，但其所有手段就是“它们足够聪明，可以进行基础研究并调用他们用于编码的语言的crypto-API。 ”

Hakhinian说：“在将供应商的数据委托给他们之前，先找到具有正确实施加密技术的供应商。”