Коротка відповідь
Набагато безпечніше, ніж plaintext в хмарі, але набагато менш безпечно, ніж офлайн фізичний backup. Безпека залежить повністю від сили пароля: 7z і VeraCrypt використовують AES-256, математично надійний, але як тільки у атакуючого файл, вони можуть брутфорсити ваш пароль офлайн нескінченно — без rate limiting, без login throttle. Якщо ваш пароль "день_народження + ім'я", він падає за дні. Прийнятна сила — 20+ символів випадкового string, і цей пароль не може жити в тій же хмарі.
Реальність "офлайн брутфорсу"
Багато хто відчувають безпеку зашифрованих архівів з невірної інтуїції: "без пароля нічого не відкривається". Це вірно, якщо пароль сильний. Але більшість паролів — не 256-біт випадкові, а 12-16 символів суміш поширених слів і цифр дня народження.
Ключова концепція — офлайн брутфорс. Поки зашифрований файл сидить в Google Drive, атакуючому спочатку потрібно скомпрометувати аккаунт — у них 2FA, rate-limiting, сповіщення про незнайому локацію. Але як тільки атакуючий фішингом отримує облікові дані або викрадає cookie, вони негайно завантажують всі підозрілі файли локально.
Після локального завантаження злом — чисті обчислення. Без throttling, без сповіщень. Один RTX 4090 з hashcat пробує від мільйонів до десятків мільйонів кандидатів на секунду.
Що означає "достатньо сильно"
Для 7z AES-256 стійкого до атакуючого рівня держави: 20+ символів випадкових, з 70-символьного алфавіту. Це дає приблизно 122 біти ентропії. Запам'ятати це непрактично для більшості; записати означає, що тепер потрібно захищати дві речі.
Рекомендація
Якщо ви повинні використовувати хмару як один рівень backup: VeraCrypt з passphrase, згенерованим як Diceware послідовність з 7+ слів. Не зберігайте passphrase в тій же хмарі. Зберігайте на окремому пристрої, ідеально на папері або сталі в іншій фізичній локації. Для більшості українських голдерів це більше операційної складності, ніж сталь+сейф.
Подальше читання: П'ять методів зберігання.