Sync.com 自豪地宣传该公司无法访问您的数据,但他们确实提供了可选的基于电子邮件的密码重置。
大多数云存储提供商与 Sync 不同,因为它们可以访问、扫描和读取您的文件。Sync 的端到端加密存储平台和应用程序确保只有您可以访问云中的数据。我们无法读取您的文件,其他人也无法读取。
在激活或使用密码重置功能时,他们声明他们的系统可以临时访问您的加密密钥。临时在这里是什么意思,它是如何工作的?
此功能不会将您的密码暴露给 Sync,但它会在启用或使用该功能时让 Sync 的自动化系统临时访问您的加密密钥。我们不能代表您启用或禁用该功能。
这是否意味着,虽然具有此功能的激活,他们可以实际访问我的数据?我看不出它如何以任何其他方式工作,但我觉得将零知识作为他们的主要卖点,同时仍然建议人们使用这个“功能”有点不诚实。
这是我从 sync.com 收到的官方答复。因此,正如所怀疑的那样,零知识的承诺仅在未启用此选项时才成立。
临时意味着您的密钥会短暂地暴露给自动化系统(而不是人)。
启用该功能后,我们将备份密钥存储在托管中(在单独的异地“冷服务器”上,无法从公共 Internet 或 Sync 员工访问)。备份密钥可用于重置密码,但不能直接访问您的文件。
密码重置功能本身只能由您启用或禁用(从技术上讲,我们无法这样做,因为启用该功能需要您当前的密码)。
我们提供此功能是因为许多行业出于合规目的需要基于电子邮件的密码重置功能。
例如,在某些国家/地区,将客户数据存储在云中的法律公司必须能够随时恢复其数据,即使他们丢失了密码并且没有安装 Sync 桌面应用程序(在这种情况下)他们将被永久锁定在他们的帐户之外)。
只要您安装了同步桌面应用程序,您就不需要启用此功能,因为桌面应用程序还提供了完全零知识的密码重置机制
另外我在他们的网站上发现:
您必须保护您的密码和密钥。您的密码和密钥不会存储在同步系统上。因此,如果您丢失或忘记了这些信息,我们将无法向您提供这些信息或重置您的密码。(https://www.sync.com/privacy/)
他们的白皮书也没有提到这个功能。所以似乎这个功能是后来添加的,因为这个功能是可选的,并且只在你没有安装桌面应用程序时推荐(它有另一个可以安全实施的重置选项)并且根据我对其他类似系统的了解,我受过教育猜测是只有在未启用此功能时,该承诺才成立。