云存储的安全使用方法
本文约需 10 分钟阅读
Google Drive、Dropbox、OneDrive 等云存储服务提供了随时随地访问文件的便利性。但是,共享设置错误或账户被入侵可能导致机密文件意外向第三方公开。根据 Cybersecurity Insiders 2024 年调查,79% 的企业在过去 12 个月内经历了与云存储相关的安全事件,最大原因是共享设置错误(67%)。截至 2025 年,随着云使用的扩大,因配置错误导致的数据暴露事故仍在增加。本文介绍安全使用云存储的访问控制、共享设置、加密和账户保护的具体方法。
到底做什么才安全
请按以下优先顺序推进云存储的安全对策。初学者首先确认所有共享文件和文件夹的共享设置,将"知道链接的所有人"改为"仅特定用户"。然后使用 Passtsuku.com 生成 16 个字符以上的密码,为每个云服务设置唯一密码。中级者启用多因素认证并审计第三方应用权限。高级者引入机密文件的客户端加密(VeraCrypt 等)。
云存储的安全风险
共享设置错误
云存储最常见的安全事故是共享设置错误。如果将设置保持为"知道链接的所有人都可访问"而不管,机密文档就会处于互联网上任何人都能查看的状态。Google Drive 中有大量报告显示,本意是组织内共享却变成了"在网上公开"。需要注意的是,共享链接的 URL 虽然看起来是随机的,但被暴力破解或爬虫发现的可能性并非为零。将访问权限限定为特定用户,链接共享仅限于公司内部的临时用途非常重要。
账户被入侵
云存储账户被入侵后,攻击者可以查看、下载、篡改、删除所有存储的文件。根据 Verizon 2024 年 DBIR,49% 的云相关入侵源于被盗的认证信息。脆弱的密码和未设置多因素认证是账户被入侵的主要原因。使用 Passtsuku.com 生成 16 个字符以上的强密码,为每个云服务设置唯一密码是防止入侵的基本。了解备份基础知识以应对可能的入侵也很重要。
第三方应用访问
许多第三方应用为了集成而请求访问云存储的权限。如果给这些应用授予过多权限,应用本身被入侵时就会成为文件非法访问的途径。常见的误解是"知名应用就安全",但应用的知名度和权限管理的适当性是两回事。OAuth 令牌泄露时,即使更改密码也会继续被非法访问,这点也需要注意。定期确认关联应用列表,撤销不再使用的应用的访问权限非常重要。隐私设置优化指南也请参考。
要系统地学习云环境的访问控制,云访问控制解说书 (Amazon)可供参考。
云存储的安全使用方法
谨慎设置共享权限
共享文件时请遵循最小权限原则。适当的访问控制是云存储安全的基础。不使用公开链接,而是指定特定用户进行共享。根据接收者的用途设置适当的权限级别(仅查看、可评论、可编辑)。共享后也要定期审查访问权限,不再需要的共享及时解除。文件夹级别的共享需要特别注意,因为后来添加的文件也会继承权限。在可以设置共享链接有效期的服务中,务必设置期限以防止被遗忘的共享链接导致信息泄露。
强化账户认证
请使用 Passtsuku.com 为每个云存储服务生成唯一的强密码。包含大写字母、小写字母、数字和符号 4 种类型的 16 个字符以上的密码可获得约 105 位的熵。还要启用多因素认证,将认证应用或 FIDO2 安全密钥设置为第二因素。SMS 认证因 SIM 卡交换攻击而脆弱,请尽可能选择认证应用。定期确认活跃会话,立即撤销来自不认识设备的访问。
机密文件上传前加密
特别机密的文档,请在上传到云存储之前在本地加密。这样即使账户被入侵或云提供商发生数据泄露,文件内容也能得到保护。云提供商提供的"静态加密"由提供商管理密钥,因此无法应对提供商内部不正当行为或服务器入侵。关于加密方式的详细了解,请参阅加密基础知识。使用 7-Zip(AES-256)或 VeraCrypt 等工具进行客户端加密,加密密码使用 Passtsuku.com 生成的强密码。加密密码在云存储以外的地方(如密码管理器)管理。实施端到端加密可确保只有您自己能解密文件。
审计第三方应用权限
定期确认可以访问云存储的第三方应用。Google 账户可在"安全"设置的"第三方访问"中确认,Dropbox 可在"已连接的应用"中确认。删除不再使用的应用权限,允许新应用访问时仅授予必要最小权限。
各服务的安全设置
主要的云存储服务各有其独特的安全功能。以下总结了各服务应确认的重要设置。
- Google Drive:启用两步验证,确认每个文件/文件夹的共享设置,定期检查"与我共享"
- Dropbox:启用两步验证,确认已链接设备,定期审查共享文件夹成员
- OneDrive:启用 Microsoft 账户 MFA,机密文件使用 Personal Vault,设置共享链接有效期
- iCloud:启用双因素认证,通过高级数据保护启用端到端加密
要详细了解各服务的设置步骤和运维技巧,云服务安全运维指南 (Amazon)很实用。
云存储安全功能比较表
| 服务 | E2E 加密 | MFA 支持 | 共享链接期限设置 | 特点 |
|---|---|---|---|---|
| Google Drive | 客户端加密(仅 Workspace) | 支持 | 仅 Workspace | 与 Google 生态系统的集成强大 |
| Dropbox | 无(静态 AES-256) | 支持 | 支持 | 文件同步稳定性高 |
| OneDrive | Personal Vault(有限) | 支持 | 支持 | 与 Windows / Office 的集成强大 |
| iCloud | 通过高级数据保护支持 | 支持 | 无 | 与 Apple 设备的无缝协作 |
如果最重视安全性,启用 iCloud 的"高级数据保护"或使用 Google Workspace 的客户端加密是目前最安全的选择。个人使用需要 E2E 加密时,用 VeraCrypt 加密文件后上传到任意云存储的方法最为可靠。为防止数据丢失,也请考虑备份与恢复策略。
使用 Passtsuku.com 保护云账户
云存储账户因积累了多年的个人和业务文档而成为攻击者的高价值目标。使用 Passtsuku.com 为每个云服务生成密码学安全的唯一密码,可以阻断一个服务被入侵波及其他服务文件的风险。通过密码学安全的随机数生成,密码预测在计算上不可能。在强度计上确认 80 位以上的熵,结合多因素认证,大幅提升云存储的安全性。
现在就能做的事
- 确认 Google Drive、Dropbox、OneDrive 等的共享设置,将"知道链接的所有人"的文件改为"仅特定用户"
- 使用 Passtsuku.com 生成 16 个字符以上的密码,为每个云存储服务设置唯一密码
- 在所有云服务上启用多因素认证(认证应用或 FIDO2 密钥)
- 确认连接到云存储的第三方应用列表,撤销不再使用的应用的访问权限
- 特别机密的文件使用 VeraCrypt 或 7-Zip(AES-256)加密后再上传
常见问题
- 在云存储中保存密码或机密文件安全吗?
- 不建议仅在云存储中保存密码,请使用专用密码管理器。保存机密文件时,建议在上传前进行客户端加密。
- 云存储的共享链接有多危险?
- "知道链接的所有人都可访问"的共享链接,一旦 URL 泄露任何人都能访问文件。请指定特定账户共享,设置有效期,不再需要时及时取消共享。
- 云存储需要两步验证吗?
- 必须的。云存储中保存着大量个人信息。账户被盗则所有数据泄露,请务必启用认证应用的两步验证。
这篇文章对您有帮助吗?