如何安全地存储和共享敏感文件

这篇文章已更新。它最初于 2018 年 5 月 4 日发布。

您的计算机并不像您想象的那么安全。如果您用它来存储敏感信息（例如税务表格、法律文件和其他文件），则需要采取额外措施来保护这些数据不被窥探。

保护计算机上的文件

将敏感文件存放在计算机上比将成堆的文件存放在文件柜中方便得多。但就像您用钥匙锁住文件柜一样，您需要锁定这些数字文件，以便窃贼和黑客无法访问它们。尽管您可能认为普通的用户帐户密码是不够的。如果有人可以访问您的设备，他们可以使用免费且易于获取的软件轻松找到并窃取您的文件。

[相关：使用端到端加密保护你的 Zoom 通话]

为了真正保护敏感文件，您需要加密。该技术使用复杂的算法将数据打乱，以便只有拥有密钥（在本例中为密码）的人才能查看解密版本。如果有人窃取了您的计算机，他们会看到该文件，但如果没有该密码，其内容看起来就会乱七八糟。

Windows 和 macOS 都内置了加密文件的工具，并将用户帐户的密码视为密钥。这样，您输入密码的方式与以往一样，但它在幕后执行了更多操作来锁定文件。

在 macOS 上

Mac 用户的操作很简单：从“系统偏好设置”>“安全和隐私”>“FileVault”打开 FileVault 功能。这将加密您的整个硬盘，防止任何人访问您的文件，除非他们知道您的帐户密码。如果您想将信息存储在外部 USB 驱动器上以便于携带，您的 Mac 也可以对其进行加密：在“磁盘工具”应用中打开该设备，从左侧边栏中选择它，然后按照说明进行操作。

在 Windows 上

不幸的是，Windows 有点复杂。有些 PC 默认会自动加密文件。您可以通过转到“设置”>“系统”>“关于”并向下滚动到BitLocker 来检查这一点。单击它，在弹出菜单中的“操作系统驱动器”下，您将看到此工具是打开还是关闭。如果未激活，请单击“打开 BitLocker”并按照说明进行操作。

此功能可以加密您的计算机以及外部驱动器。如果您想在 PC 之间移动文件或通过将便携式驱动器放入物理保险箱来将数据锁定在另一层安全保护之下，后一种功能非常有用。

问题在于：BitLocker 要求您的计算机具有一种称为可信平台模块 (TPM) 的特殊芯片，而并非每台 PC 都配备这种芯片。如果您的计算机没有 TPM，并且您使用的是 Windows 10 或更高版本，则可以启用 BitLocker 并将加密密钥保存在闪存驱动器上。如果您的计算机运行的是 Windows 7 或更高版本，您还可以选择在没有 TPM 或 USB 驱动器的情况下加密本地驱动器。

如果所有这些看起来有点复杂，你可以求助于第三方选项。VeraCrypt 是一款适用于 Windows、macOS 和 Linux 的免费程序，可以加密计算机的整个驱动器。你也可以使用它来加密其自己的安全“容器”内的某些文件组，但我们建议加密所有内容。

如果您加密了硬盘（或将任何文件放入加密容器中），记住密码就非常重要。如果您忘记了密码，您将根本无法访问这些文件。

将文件存储在云中

现在，您已经控制了计算机，但是如果您想在其他设备上轻松访问这些文件，该怎么办？或者，如果您需要备份它们以防硬盘出现故障，该怎么办？您可以将它们安全地保存在云中，但首先，您必须了解存储服务的安全性。

许多流行的文件共享服务（例如 Dropbox）都会对您的数据进行加密，但这并不能使数据完全保密。

Dropbox 数据安全主管 Rajan Kapoor 表示：“Dropbox 服务可以访问文件，以执行生成预览等操作，并允许用户与这些文件进行交互和协作。”通过让您的数据可供平台访问，它可以提供便捷的功能 - 但当涉及到您的敏感文件时，您可能觉得这不值得权衡。虽然 Dropbox“对每个功能执行威胁建模以探测弱点”，但它仍然要求您信任其私人安全措施。

有些服务，比如 SpiderOak One Backup，放弃了这些便捷功能，转而追求更高的安全性。“对于其他服务，即使它们使用了一些加密，您仍然将文件的控制权交给了服务，”SpiderOak 的首席技术官 Jonathan Moore 说道。“服务可以选择谁可以读取文件，甚至可以更改文件。而 SpiderOak 的‘无信任’方法，让我们无法控制为您托管的数据。”由于您的数据在离开计算机之前就已加密，因此 SpiderOak 服务只能访问那些乱七八糟的加密文件，而不能访问您存储的实际文件。

但是，如果某些无赖真的获得了您帐户的访问权限，这两种服务都无法保护您。如果其他人知道您的 Dropbox 密码或通过安全漏洞侵入您的帐户（Dropbox 过去发生过几次这种情况），您的所有文件都可以被他们随意访问。（公平地说，SpiderOak 过去也存在安全漏洞，但没有像 Dropbox 的漏洞那样严重。）这就是为什么选择一个强大的随机密码并为您使用的每项云服务启用双因素身份验证非常重要。

只要您利用这些功能，Dropbox 或 SpiderOak 等云服务可能足以保护大多数文档。但请记住：说到云，您总是将数据托付给其他人。如果您真的想要额外的安全保护，您可以将文件存储在 VeraCrypt 容器中，然后将其同步到云存储。即使有人完全访问了您的 Dropbox 或 SpiderOak 帐户，恶意行为者也需要您的 VeraCrypt 容器的密码才能访问文件。Dropbox 的帮助中心甚至建议在处理额外敏感文件时采用这种方法。

发送文件给其他人

如果您需要与他人共享文件，那么保证文件安全就会变得更加困难。发送这些文件（除了亲自交给他人）最安全的方式是加密文件、共享加密版本，然后让收件人在自己的机器上解密。

不幸的是，这种方法不太实用。你的收件人可能不使用 VeraCrypt，让他们安装一个全新的程序来读取你的文件可能行不通。所以你需要尝试另一种方法。

如果您要将文件发送给经常处理敏感文件的专业人士，例如律师或报税员，他们可能会在其网站上提供“安全文件箱”，您可以将数据放入其中。您可能需要创建一个帐户才能使用它，但只要开发人员已经做好了工作，这可能是您最安全的选择。（同样，这是一个很大的“如果”：您必须信任管理加密云存储的人。）

[相关：使用端到端加密保护你的 Zoom 通话]

如果没有安全的文件箱，您应该求助于您选择的云存储服务。上传文件并使用内置的文件共享功能向收件人发送链接。这比将文件作为电子邮件附件发送更安全，因为收件人的电子邮件服务可能没有很强的安全性。通过 Dropbox 之类的工具共享文件，您至少知道它是通过 HTTPS 传输的，因此网络上的其他人看不到它，并且您可以在收件人下载文件后从云存储中删除该文件。这种方法并不完美（因为 Dropbox 再次可以看到您的文件），但它几乎肯定比使用电子邮件附件更好。

当然，无论交接过程多么安全，您都信任接收者：一旦文件到了他们手中，您就无法控制他们是否小心谨慎。所以最好不要太担心。毕竟，他们可能会不设密码就打开电脑，或者将纸质文件扔到桌子上让所有人看到。这是现代社会不幸的现实。但您至少可以尽自己的一份力量，确保敏感信息的安全，并希望其他人也能这样做。