La sicurezza dei dati su Dropbox: come funzionano il client, l'autenticazione a due fattori e la cifratura dei file

Dropbox è uno tra i più noti servizi che offrono la possibilità di ospitare “sulla nuvola” file di qualunque genere: utilizzando Dropbox si avrà a disposizione una sorta di hard disk virtuale accessibile da qualunque luogo ci si trovi. È possibile caricare su Dropbox, all’interno del proprio account, ogni tipo di materiale ricorrendo all’interfaccia web (è necessario utilizzare unicamente il browser web) oppure il software client per sistemi Windows, Linux o Mac OS X.
Posto che Dropbox è utilizzabile senza problemi sfruttando il solo browser web, scaricando ed installando l’apposita applicazione da questa pagina, tra le cartelle di sistema, se ne avrà a disposizione una che permetterà di caricare file sull’account Dropbox memorizzandoli così come se si avesse a che fare con una normale directory salvata in locale.
Durante l’installazione di Dropbox, è possibile decidere se creare una nuova cartella tra quelle di sistema oppure se generarla in una locazione del disco differente:

Nell’esempio, la cartella di Dropbox – che viene utilizzata per caricare i dati online e per sincronizzarli con il sistema in uso – è stata creata tra le directory di sistema di Windows, all’interno del profilo dell’utente correttamente in uso.

Quando si salva un file nella cartella di Dropbox questo sarà immediatamente inviato “sulla nuvola”; quando lo si cancella, esso sarà rimosso anche dall’account personale. L’eliminazione non sarà definitiva dal momento che, accedendo via browser quindi cliccando sull’icona Mostra file eliminati, questi torneranno ad apparire in elenco (saranno colorati di grigio).

Cliccando con il tasto destro del mouse su un file già eliminato, quindi selezionando Elimina definitivamente, l’elemento verrà rimosso in modo permanente.

Viceversa, facendo clic su Ripristina, il file precedentemente rimosso potrà essere nuovamente utilizzato.

Tutti i dettagli circa l’installazione del client Dropbox per sistemi Windows sono pubblicati nell’articolo Condividere file e cartelle con Dropbox (le schermate sono in inglese perché la società non aveva ancora provveduto a tradurre il servizio nella lingua italiana).

Dropbox può essere utilizzato anche da un qualunque dispositivo mobile Android, da iPhone, iPad ed iPod, da smartphone BlackBerry e dal Kindle Fire di Amazon. In questo modo, scaricando l’apposita applicazione (vedere questa pagina) si potrà interagire con il proprio account ovunque ci si trovi.

Maggior sicurezza con l’autenticazione a due fattori

Accedendo a Dropbox via web quindi cliccando sul proprio nome utente, in alto a destra, e su Impostazioni, si potranno configurare tutte le preferenze d’utilizzo del servizio.

Facendo clic sulla scheda Sicurezza, si otterrà l’elenco completo dei computer e dei dispositivi che si sono via a via connessi con l’account Dropbox.
Suggeriamo di lasciare spuntate le caselle Quando un nuovo dispositivo viene collegato al mio account e Quando una nuova applicazioni si collega al mio account in modo da essere avvisati via e-mail ogniqualvolta un nuovo sistema si colleghi a Dropbox utilizzando le credenziali personali.

Come misura di sicurezza addizionale, è possibile attivare l’autenticazione a due fattori cliccando sul link cambia in corrispondenza di Verifica in due passaggi.

Si chiama “autenticazione a due fattori” quel meccanismo che consente di accedere ad un servizio soltanto facendo ricorso all’utilizzo congiunto di due metodi di autenticazione individuale. Un approccio del genere consente di fidare su di un livello di sicurezza più elevato scongiurando eventuali tentativi di accesso non consentiti da parte di persone non autorizzate.
Per effettuare il login su un servizio è possibile utilizzare una password ma anche un telefono cellulare od un oggetto fisico chiamato “token” od, ancora, l’impronta digitale, la voce od altre caratteristiche che contraddistinguono ogni individuo in modo univoco (biometria). Un sistema a due fattori sfrutta, per l’autenticazione dell’utente, due diversi metodi tra quelli citati.

Il meccanismo implementato in Dropbox prevede, oltre all’inserimento della password scelta in fase di registrazione, anche l’inserimento di un codice ricevuto via SMS oppure generato in modo indipendente sullo smartphone.

Qualora non si optasse per la ricezione di un SMS con il codice di accesso, per poter generare “il lasciapassare” si potranno utilizzare applicazioni quali Google Authenticator (compatibile con i telefoni Android, Apple iPhone e BlackBerry; vedere la pagina di supporto in italiano) oppure Amazon AWS MFA (compatibile solo con Android; vedere questa pagina) oppure Authenticator per Windows Phone 7 (vedere qui).

Si supponga di aver installato Google Authenticator su uno smartphone Android. Per procedere, dopo aver avviato l’applicazione, si dovrà “tappare” su Leggi codice a barre quindi acquisire, attraverso la fotocamera presente sul dorso del telefonino, il codice QR mostrato sul monitor dalla versione web di Dropbox (per procedere bisognerà aver installato l’applicazione ZXing Barcode Scanner).

Si otterrà così un codice numerico, valido per pochi secondi, che si dovrà digitare nella finestra di Dropbox.

Come ultimo passaggio, prima di confermare l’attivazione dell’autenticazione a due fattori, si dovrà annotare il lungo codice alfanumerico restituito da Dropbox. Tornerà utile nel caso in cui si dovesse malauguratamente perdere lo smartphone per disattivare l’autenticazione a due fattori.
D’ora in avanti, ogni volta che si connetterà un nuovo dispositivo al proprio account Dropbox, bisognerà non soltanto digitare nome utente e password ma inserire il codice di conferma generato utilizzando lo smartphone od il tablet.

Collegare Dropbox ad un’applicazione sviluppata da terze parti

Nella scheda Le mie applicazioni viene mostrata la lista delle applicazioni che sono state precedentemente autorizzate a collegarsi con l’account Dropbox. Tali applicazioni non necessitano di nome utente e password per interagire con i file memorizzati online ma solo di un “via libera” iniziale che può essere concesso dall’interfaccia web di Dropbox.

CarotDAV è, ad esempio, un’applicazione che consente di interfacciarsi comodamente con alcuni tra i principali servizi di hosting di file “in the cloud”. Non solo Dropbox quindi: utilizzando CarotDAV ci si può collegare velocemente ad account Box, Google Drive, SkyDrive e SugarSync.

Per sapere come funziona CarotDAV, vi suggeriamo di fare riferimento al nostro articolo Salvare file online, sulle nuvole, con un unico programma.

Crittografare i dati che si memorizzano su Dropbox

Quando si caricano dei file “sulla nuvola”, decidendo di utilizzare uno dei tanti servizi oggi disponibili sul mercato, è sempre bene proteggerli non affidandosi ciecamente, quindi, ai propositi ed alle dichiarazioni d’intenti del cloud provider. E’ quindi sempre bene che il “proprietario dei dati” si attivi per proteggerli adeguatamente. E’ opportuno, insomma, che – come regola generale – da applicare sicuramente al cloud ma non solo ad esso, si provveda a mettere in sicurezza i dati all’origine non limitandosi ad un “atto di fede” nei confronti del fornitore del servizio.

Un’ottima idea, se si prevedono di salvare sulla nuvola file contenenti informazioni personali, potrebbe essere quella di salvare i dati “sulla nuvola” in forma cifrata.

Nell’articolo Condividere file e cartelle con Dropbox. Utilizzo di TrueCrypt per un maggior livello di sicurezza, abbiamo spiegato come sia possibile utilizzare il noto software TrueCrypt per creare un volume crittografato su Dropbox.

In alternativa, è possibile affidarsi ad un programma come BoxCryptor che crea un’unità virtuale cifrata sul personal computer in uso e la collega direttamente con un account “in the cloud”, sia esso Dropbox, Box (grazie ad una speciale promozione – vedere l’articolo Inviare file di grandi dimensioni con Thunderbird e FileLink – è possibile fruire di un account completamente gratuito da 25 GB contro i soli 2 GB di capienza di Dropbox), Google Drive o qualunque altro fornitore. Nell’articolo BoxCryptor: per mettere al sicuro i dati salvati “in the cloud” abbiamo analizzato il funzionamento del programma, completamente gratuito.

Da ultimo è importante ricordare di scegliere una password a protezione di Dropbox e di qualunque altro account “in the cloud” che sia sufficientemente lunga e complessa. La password, inoltre, non dev’essere mai riutilizzata (non deve essere sfruttata in nessun altro servizio).