Maximieren Sie die FileVault-Sicherheit, indem Sie den Schlüsselspeicher im Standby-Modus zerstören
Der Standby-Modus ist eine Energiesparfunktion, die einen Mac automatisch in den Ruhezustand versetzt, nachdem er sich einige Zeit im Energiesparmodus befunden hat. Dadurch wird der Stromverbrauch des Akkus weiter verringert. Wenn ein Mac mit FileVault-Verschlüsselung in den Standby-Modus versetzt wird, wird ein FileVault-Schlüssel (ja, dieser Schlüssel ist verschlüsselt) in EFI (Firmware) gespeichert, so dass er schnell aus dem Standby-Modus kommen kann, wenn er aus dem Tiefschlaf erwacht ist. Für 99% der Benutzer ist das nicht wichtig, und es ist kein Sicherheitsrisiko, aber für diejenigen, die sich um absolute maximale Sicherheit und den Schutz eines Mac vor ungewöhnlich aggressiven Angriffen (zB Spionage-Level) sorgen, können Sie OS X so einstellen, dass das automatisch zerstört wird Wenn der FileVault-Schlüssel in den Energiesparmodus versetzt wird, verhindert er, dass der gespeicherte Schlüssel ein potentieller Schwachpunkt oder Angriffsziel ist.
Wenn Sie diese Einstellung aktivieren, müssen FileVault-Benutzer ihr FileVault-Passwort eingeben, wenn ein Mac aus dem Standby-Modus erweckt wird, da der FV-Schlüssel nicht mehr für ein schnelles Erwachen gespeichert ist. Kaum eine Unannehmlichkeit, aber es verlangsamt das Aufwachen aus dem Tiefschlaf und erfordert vom Benutzer eine zusätzliche Stufe der Authentifizierung, die über die standardmäßigen Sperr- und Anmeldefunktionen hinausgeht, bevor der Mac wieder benutzbar wird.
Erhöhen Sie die FileVault-Sicherheit, indem Sie FileVault-Schlüssel im Standby-Modus löschen
Dieser Befehl muss in das Terminal eingegeben werden, in / Applications / Utilities /
pmset -a destroyfvkeyonstandby 1
Das Flag -a wendet die Einstellung auf alle Leistungsprofile an, also sowohl auf die Batterie als auch auf das Ladegerät.
Wenn Sie diese Funktion als unnötig oder frustrierend empfinden, können Sie sie einfach umkehren, indem Sie die 1 auf 0 setzen und den Befehl erneut wie folgt verwenden:
pmset -a destroyfvkeyonstandby 0
Beachten Sie, dass Sie, abhängig von den aktiven Benutzerkontoberechtigungen, diesen beiden Befehlen möglicherweise sudo voranstellen müssen, damit sie vom Superuser ausgeführt werden können. Die Befehle wären also wie folgt:
Aktivieren der FileVault-Schlüsselzerstörung
sudo pmset -a destroyfvkeyonstandby 1
Deaktivieren der FileVault-Schlüsselzerstörung
sudo pmset -a destroyfvkeyonstandby 0
Sie können die Einstellungen für pmset immer überprüfen, um festzustellen, ob dies derzeit aktiviert oder deaktiviert ist, indem Sie den folgenden Befehl verwenden:
pmset -g
Zugegeben, dies ist ein bisschen technisch und ein bisschen extrem, und wird daher nicht für die überwiegende Mehrheit der Mac-Nutzer gelten. Nichtsdestoweniger ist dies für Personen in sensiblen Sicherheitsumgebungen, die sehr sensible Daten auf ihren Computern gespeichert haben, oder sogar für Personen, die ein Höchstmaß an persönlicher Sicherheit wünschen, eine sehr wertvolle Option und sollte in Betracht gezogen werden, wenn der Kompromiss langsamer ist Weckzeit ist den zusätzlichen Sicherheitsvorteil wert.
Wie immer bei FileVault, vergessen Sie nicht das Passwort, sonst wird der gesamte Inhalt auf dem Mac nicht mehr dauerhaft zugänglich sein, da die Verschlüsselungsstufe so stark ist, dass sie in einem menschlichen Zeitrahmen praktisch nicht überwunden werden kann. Wenn Sie mit FileVault noch nicht vertraut sind und das Konzept der vollständigen Festplattenverschlüsselung kennen, stellen Sie sicher, dass Sie es richtig einrichten und verlieren Sie nie den FileVault-Wiederherstellungsschlüssel.
Für viel mehr technische Informationen zu diesem Thema bietet Apple einen hervorragenden FileVault-Implementierungsleitfaden im PDF-Format.