如何較安全地使用雲端檔案儲存空間

儲存檔案在雲端甚為方便,但用得不妥當,隨時方便自己,亦方便歹徒,所以使用雲端服務時,更應加倍小心。

有三點要注意:

一,基本保安要求,密碼、二步認證
二,雲端儲存空間上較敏感的資料應額外加密
三,慎選雲端服務供應商

以下逐點去講。

一,基本保安要求,密碼、二步認證

不論你用哪間服務供應商,但基本的保安必須做好,包括密碼不重複,不會與其他戶口共用密碼,並且要有開啟二步認證。若然密碼太多記不住,就要習慣使用密碼管理器。如果密碼重複使用,萬一另一間網絡供應商的資料外洩了(經常發生),別人就能猜到你其他戶口的密碼。

有關密碼管理器
二步認證的設置

二,雲端儲存空間上較敏感的資料應額外加密

檔案放上雲端,要作好最壞打算,隨時有被盜的風險,不要心存僥倖。入侵的方式可以是外部,但也有可能是該公司出賣客戶資料。對於較為敏感的檔案,當然最好避免上傳至雲端,但若然自己衡量風險後認為要放上雲端,就建議要做一層額外的加密。

有兩種加密方式,分別是在本機電腦用 Veracrypt 製作加密碟,或使用附加在 Google Drive 或 Dropbox 的加密服務。

甲,在本機電腦用 Veracrypt 製作加密碟

Veracrypt 的使用方法大致是,在電腦上使用免費開源的 Veracrypt 軟件,製造一個加密碟影像檔案,使用起來好像是一個虛擬的 USB 手指,實質只是一個檔案。

在電腦上打開 Veracrypt,選擇加密碟影像檔案,把檔案放入去,之後再把整個加密碟影像檔案上傳至雲端。由於每次一有微細的檔案更改,都要整個加密碟檔案重新上傳,所以加密碼碟不宜太大。

好處:Veracrypt 是資訊保安界裡其中一個最廣為使用的加密工具,運作非常穩定。

壞處:只能在 Mac、PC 等電腦上操作,檔案不能在手機上解鎖。另外,對新手來說,操作上有點複雜。

我之前寫過一篇文章介紹 Veracrypt,請看:〈簡易製作加密虛擬碟中碟〉

乙,附加在 Google Drive 或 Dropbox 的加密服務

Google Drive、Dropbox、OneDrive 等最流行的服務,都不是「零知識」,即是他們有能力把你的資料向他們披露。他們會不會這樣做是一回事,但我就是不喜歡他們有這個權限。

其中一個簡單的解決方法,是使用 Cryptomator,能夠在 Google Drive、Dropbox、OneDrive 上加入一個加密文件夾,放進去的資料,即使是總公司,也不能查看當中內容。

電腦版免費使用,但手機 app 要付費。

好處:手機及電腦均能解密,方便使用。

壞處:在網上論壇,經常有人提及自己以 Cryptomator(或另一類似軟件 Boxcryptor),會有些檔案消失,可能是使用者使用不當,也有可能是其他原因,而更重要是,我自己有次也出現過類似情況。所以,即使用這個軟件,我也只會加密非常少量檔案,而絕不敢用它來加密整個 Google Drive。另外,檔案本身也有較好的備份。

三,慎選雲端服務供應商:推介 Tresorit

雲端檔案儲存系統,最流行的是 Google Drive、Dropbox、Onedrive 等,但這些都不是「零知識」,即是這些服務的公司理論上都能查看用戶的資料。公平一點說,不是任何一個員工都有此權限,而看過檔案的員工也會留有記錄,如果是法庭要求交出資料,美國的科技巨頭也會在其《透明報告》中披露相關數據。

但問題是,我為甚麼要任由別人去決定如何保管我的資料?我不管他們會否交出我的檔案,但我對於他們這個能力,已覺不舒服。所以我寧願多付一點錢,選擇一間對我的檔案是「零知識」的服務商,即是檔案有加密,而服務供應商沒有密鑰,亦無法打開我的任何檔案。

考慮到公司背景、所在國瑞士、審計報告、風評、用戶組織等等,我推介的是 Tresorit。該公司設在瑞士及匈牙利,要遵照瑞士及歐盟的私隱政策,數據中心設在愛爾蘭及荷蘭。Tresorit 在 2021 被瑞士郵政收購,雖然郵政也是政府機關,但一來該公司利用「零知識」的運作模式,想出賣用戶數據也沒有甚麼可以出賣,二來該政府是瑞士,出名對私隱保護較強,不像某些下流的國度。

Tresorit 的功能與 Google Drive 類似,都是雲端硬盤,但是「零知識」,他們沒有能力查看用戶檔案。使用起來也大同小異,但涉及大量人工智能搜索功能就欠奉,這點算是一個妥協。另外,Tresorit 本身都有加密,所以不用搭配 Cryptomator。

申請時會有十四天免費試用期,在十四天內取消,計劃會變成 Basic,基本的計劃應該也有 Camera Upload(相簿同步)的功能。Tresorit 的價錢稍貴,Premium 計劃每月 10.42 美金(500 GB 空間),Solo 計劃每月 24 美金(2,500 GB 空間)。

如果有學校 edu 尾(包含 edu.hk)的電郵地址,可以直接發信給 Support(support@tresorit.com)查詢並取得八折優惠。如果是注冊的非牟利組織,更有五折優惠。

另有幾間點對點加密的雲端硬盤,例如加拿大的 Sync.com,以及 pCloud、CrashPlan(慢慢慢)、SpiderOak,我自己測試過,覺得速度未如理想,而 Proton Drive 暫時仍屬 beta 版,空間不大。Tresorit 及 Sync.com 均有試用期,不妨試一星期才決定用哪個。至於 NAS,我不是太確定其安全系數,沒有使用。

Tresorit 好處:速度算快,手機及電腦的應用介面易用,運作方式是「零知識」,即該公司沒有能力出賣你。注冊國在瑞士,對私隱保障佳。

Tresorit 壞處:較錢會是其中一個最大的阻力,其實也不是太貴,但因為 Google Drive 太便宜,大多數人會以此為價格的參考基準。

整體而言我對 Tresorit 很滿意。

總結:

最敏感的檔案不只不應上傳至雲端,甚至不應該儲存在可以上網的設備,有些人甚至會刻意把專門儲存敏感資料的電腦的上網元件拆除,確保完全與網絡隔絕,即所謂的「氣隙」(air gap)。

但如果真的要把檔案放到雲端,較理想的做法是選用 Tresorit 這些零知識的雲端檔案儲存空間。如果不能負擔,使用 Google Drive 等,則應把較敏感的資料以 Veracrypt 或 Cryptomator 加密。

較理想的雲端方案:Tresorit

次理想的雲端方案:Google Drive / Dropbox + Veracrypt

或:Google Drive / Dropbox + Cryptomator(只加密少量檔案)

另外有一點想提,一些服務供應商可以透過改變註冊地來改變儲存雲端檔案的地理位置,例如由人權較差的國家轉至人權較好的國家,但一來政策不是太透明,二來不是所有服務都有提供相關選項(Google 似乎要商業用戶才有此選項)。如果改到就改,最好還是選用更安全可靠的服務商。

作者:薯伯伯 Patreon / Facebook / MeWe

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *