Forums

FileVault - Ja of Nee

SRQrws

originele poster
4 aug. 2020
  • 12 aug. 2020
Ik ben benieuwd hoeveel mensen FileVault gebruiken en of het echt nodig is op Macs met SSD's, T2-chips en auto-login uitgeschakeld. Ik denk dat mijn vraag is, als je zo bent ingesteld dat je altijd een wachtwoord nodig hebt om in te loggen en je hebt geen platter-HDD die kan worden verwijderd als deze wordt gestolen en gebruikt, is FileVault dan echt nodig? Ik versleutel mijn Time Machine-back-ups op externe schijven en begrijp duidelijk de reden hiervoor. Maar als iemand met de T2-chip de Mac heeft gestolen en de SSD heeft verwijderd, kunnen ze er dan gegevens van krijgen? Dit is misschien een triviale vraag voor de experts hier, maar ik waardeer ieders mening. H

hobowankenobi

27 aug. 2015


op de vaste lijn dhr. smid.
  • 12 aug. 2020
Een terechte vraag. Ik denk dat het antwoord sterk zal variëren op basis van veel variabelen, waaronder de algemene beveiligingsconfiguratie, het gebruik/reis-/diefstalrisico en wat er op de machine staat (hoe gevoelig).

Vroeger, zoals je terecht opmerkt, was het vrij triviaal om toegang te krijgen tot een schijf via TDM, of de schijf te verwijderen om toegang te krijgen tot gegevens.
OTOH...met draaiende schijven, prestatiehits en initiële versleutelingstijd waren een goede reden om het NIET te versleutelen.

Dat alles is nu in wezen verdwenen (tenminste op recente Macs), dus... de oude gewoonten (zowel voor als tegen) moeten met pensioen.

De enige reden die me pauze geeft om filevault te gebruiken, is op machines met meerdere gebruikers, zoals een schoollab of een gedeeld werkstation.

Dat... en de angst dat sommige gebruikers hun PW gewoon zullen vergeten, en dat wordt een pijn voor iedereen, op een veel grotere manier dan alleen maar vergeten inloggegevens. t

TrevorR90

1 okt. 2009
  • 14 aug. 2020
Ik denk niet dat het op enigerlei wijze de prestaties zal schaden. Het is een extra beveiligingslaag en zoals ik al zei, het kan geen kwaad om het aan te hebben. H

hobowankenobi

27 aug. 2015
op de vaste lijn dhr. smid.
  • 14 aug. 2020
Het is nu geen prestatiehit, zowel vanwege SSD als APFS. Het was pijnlijk... vele jaren terug. Sommigen hebben misschien nog steeds een slechte smaak in hun mond van vroeger.
reacties:thetillyt t

thetillyt

8 april 2020
  • 14 aug. 2020
hobowankenobi zei: Het is nu geen prestatiehit, zowel vanwege SSD als APFS. Het was pijnlijk... vele jaren terug. Sommigen hebben misschien nog steeds een slechte smaak in hun mond van vroeger.
Ik herinner me dat wanneer het aanzetten de prestaties behoorlijk slecht deed...
reacties:hobowankenobi

Boyd01

Moderator
Medewerker
21 februari 2012
New Jersey Pine Barrens
  • 14 aug. 2020
Ik heb geen externe GPU, maar er is discussie geweest in het Mini-forum dat met filevault ingeschakeld, de wachtwoordprompt alleen verschijnt op een direct aangesloten monitor. Dus als uw monitor(s) zijn aangesloten op de eGPU, ziet u het wachtwoordvenster niet bij het opstarten.
reacties:Yebubbleman

Apple_Robert

21 sep 2012
Tussen verschillende boeken.
  • 14 aug. 2020
Met de nieuwere machines kun je niet zien dat FV is ingeschakeld. Zo naadloos is het. Ik raad ten zeerste aan om het aan te zetten.

Ik ben het eens met de eerdere berichten over de langzame oude tijd. De vertraging was merkbaar en het zou dagen duren om een ​​grote schijf te versleutelen. Blij dat die dagen voorbij zijn.
reacties:Photopooba

mj_

18 mei 2017
Austin, Texas
  • 15 aug. 2020
SRQrws zei: Maar als iemand met de T2-chip de Mac stal en de SSD verwijderde, konden ze er dan gegevens van krijgen?
Toegegeven, dat zou niet meer kunnen. Er zijn echter nog steeds meerdere manieren om toegang te krijgen tot uw bestanden als FileVault2 is uitgeschakeld. U kunt bijvoorbeeld opstarten in de doelschijfmodus en volledige toegang tot de schijf hebben. Als opstarten vanaf externe bronnen op uw Mac is ingeschakeld, kunt u ook opstarten vanaf een USB-station en volledige toegang tot het station hebben. Opstarten vanaf externe bronnen is niet ingeschakeld? Geen probleem, start gewoon met herstel en maak ofwel een volledige kopie met het schijfhulpprogramma of, nog beter, gebruik de Terminal om het wachtwoord van de gebruiker opnieuw in te stellen, start vervolgens gewoon de Mac op en heb volledige toegang tot alles op de schijf.

Er zijn vast nog meer manieren waar ik nu niet aan dacht.
reacties:Leon1das

SRQrws

originele poster
4 aug. 2020
  • 15 aug. 2020
mj_ ​​zei: Toegegeven, dat zou niet langer mogelijk zijn. Er zijn echter nog steeds meerdere manieren om toegang te krijgen tot uw bestanden als FileVault2 is uitgeschakeld. U kunt bijvoorbeeld opstarten in de doelschijfmodus en volledige toegang tot de schijf hebben. Als opstarten vanaf externe bronnen op uw Mac is ingeschakeld, kunt u ook opstarten vanaf een USB-station en volledige toegang tot het station hebben. Opstarten vanaf externe bronnen is niet ingeschakeld? Geen probleem, start gewoon met herstel en maak ofwel een volledige kopie met het schijfhulpprogramma of, nog beter, gebruik de Terminal om het wachtwoord van de gebruiker opnieuw in te stellen, start vervolgens gewoon de Mac op en heb volledige toegang tot alles op de schijf.

Er zijn vast nog meer manieren waar ik nu niet aan dacht.
Bedankt voor de gedetailleerde info. Ik had geen idee dat er meerdere manieren waren om het inlogwachtwoord te omzeilen om toegang te krijgen tot gegevens. Ik heb zojuist FileVault op al mijn Macs ingeschakeld.

sgtaylor5

Bijdrager
6 aug. 2017
Cheney, WA, VS
  • 21 aug. 2020
Aandachtspunt: ik weet dat dit feit niet relevant is voor moderne MacBook Pro met de T2-chip, maar ik kwam er onlangs achter dat FV ervoor zorgde dat mijn MBP van eind 2013 (i5/8/256) 2 of 3 graden warmer werd (consistent op High Sierra en Mojave, met Macs Fan Control ingesteld op 3000 rpm en CPU PECI als de temperatuurbron)

mj_

18 mei 2017
Austin, Texas
  • 21 aug. 2020
Dat komt omdat de CPU in uw 2013 zo oud is dat het de hardware-decoderingslogica (AES-NI) mist die nodig is voor snelle en efficiënte on-the-fly de- en codering, die daarom moet worden uitgevoerd met behulp van reguliere x86 ALU-uitvoeringseenheden. Voor zover ik begrijp missen oudere implementaties van AES-NI ondersteuning voor een specifiek algoritme dat Apple gebruikt voor FileVault2-codering, maar citeer me daar niet over.

Meer recente implementaties van AES-NI zouden dat probleem niet meer moeten hebben.
reacties:cool11, sgtaylor5, Weaselboy en 1 andere persoon

sgtaylor5

Bijdrager
6 aug. 2017
Cheney, WA, VS
  • 21 aug. 2020
Bedankt voor die uitleg; anderen die dit draadje bezoeken, zullen het willen zien.

Alleen in de computerindustrie kan een apparaat uit 2013 als oud worden beschouwd. Het kostte me vele decennia voordat de situatie in mijn leven goed was en ik mijn huidige Mac voor de halve prijs kon kopen toen hij vijf jaar oud was. Hou ervan; het is een werkpaard voor mij geweest.
reacties:Boyd01 TOT

avz

7 okt 2018
  • 21 aug. 2020
sgtaylor5 zei: Bedankt voor die uitleg; anderen die dit draadje bezoeken, zullen het willen zien.

Alleen in de computerindustrie kan een apparaat uit 2013 als oud worden beschouwd. Het kostte me vele decennia voordat de situatie in mijn leven goed was en ik mijn huidige Mac voor de halve prijs kon kopen toen hij vijf jaar oud was. Hou ervan; het is een werkpaard voor mij geweest.

Ik heb FV ingeschakeld op mijn MacBook van eind 2008 op beide schijven (Mavericks op HFS+ originele 5400rpm HDD en Mojave op APFS SSD). Ik merk geen prestatiehits of veranderingen in temperaturen. U kunt overwegen om een ​​thermische verbinding te vervangen en het stof in de machine te verwijderen/een batterij te vervangen.

sgtaylor5

Bijdrager
6 aug. 2017
Cheney, WA, VS
  • 21 aug. 2020
Bedankt; Ik heb de eerste twee suggesties al gedaan en mijn batterij is tot nu toe in orde met 368 cycli.

BuffyzDood

30 december 2008
  • 21 aug. 2020
SRQrws zei: Ik ben benieuwd hoeveel mensen FileVault gebruiken en of het echt nodig is op Macs met SSD's, T2-chips en auto-login uitgeschakeld. Ik denk dat mijn vraag is, als je zo bent ingesteld dat je altijd een wachtwoord nodig hebt om in te loggen en je hebt geen platter-HDD die kan worden verwijderd als deze wordt gestolen en gebruikt, is FileVault dan echt nodig? Ik versleutel mijn Time Machine-back-ups op externe schijven en begrijp duidelijk de reden hiervoor. Maar als iemand met de T2-chip de Mac heeft gestolen en de SSD heeft verwijderd, kunnen ze er dan gegevens van krijgen? Dit is misschien een triviale vraag voor de experts hier, maar ik waardeer ieders mening.

Dit actuele artikel zal voor iedereen meer licht werpen om te beslissen.

Hoe FileVault en de T2 Security Chip samenwerken in nieuwere Macs

Macs met een T2-chip coderen hun schijven altijd. Waarom is FileVault nodig?
reacties:ghanwani en svanstrom

Yebubbleman

20 mei 2010
Los Angeles, CA
  • 21 aug. 2020
SRQrws zei: Ik ben benieuwd hoeveel mensen FileVault gebruiken en of het echt nodig is op Macs met SSD's, T2-chips en auto-login uitgeschakeld. Ik denk dat mijn vraag is, als je zo bent ingesteld dat je altijd een wachtwoord nodig hebt om in te loggen en je hebt geen platter-HDD die kan worden verwijderd als deze wordt gestolen en gebruikt, is FileVault dan echt nodig? Ik versleutel mijn Time Machine-back-ups op externe schijven en begrijp duidelijk de reden hiervoor. Maar als iemand met de T2-chip de Mac heeft gestolen en de SSD heeft verwijderd, kunnen ze er dan gegevens van krijgen? Dit is misschien een triviale vraag voor de experts hier, maar ik waardeer ieders mening.

Dat FileVault 2 'noodzakelijk' is, is subjectief. Als je een bedrijf hebt, is het waarschijnlijk nodig om precies dezelfde redenen als BitLocker of een ander Windows-softwarepakket voor volledige schijfcodering. Als jij het bent en je hebt geen gevoelige informatie op je Mac, dan is het een kwestie van persoonlijke voorkeur.

Om je vraag te beantwoorden 'als iemand de SSD op een T2 Mac zou kunnen verwijderen, zouden ze dan bij de gegevens kunnen komen?', is het korte antwoord nee.

De SSD's zijn geïntegreerd (lees: gesoldeerd) op het moederbord op MacBook Pro's, MacBook Airs en Mac mini's die vanaf 2018 zijn geïntroduceerd, dus dat is fysiek niet eens mogelijk. Ze zijn technisch volledig verwijderbaar op de Mac Pro en iMac Pro, en gedeeltelijk verwijderbaar op 4TB en 8TB 2020 27' iMacs (waarbij een deel van de schijf op de printplaat zit en een deel in een 2-4TB uitbreidingsmodule) . De T2 is de SSD-controller op alle T2-Macs en de T2 is in de fabriek gekoppeld aan de opslag. Als u de opslagmodules verwijdert van de printplaat van de T2 Mac waarmee deze oorspronkelijk was gekoppeld, gaan de gegevens in feite verloren.

Zoals hierboven vermeld, kunt u de doelschijfmodus op een Mac nog steeds gebruiken om bestanden te verwijderen zonder dat u een wachtwoord hoeft in te voeren. Ja, je gegevens zijn altijd versleuteld op een T2 Mac, maar je hebt geen beschermingsmechanisme om te voorkomen dat de doelschijfmodus je T2 Mac nog steeds toegankelijk maakt voor een andere Mac.

Als u FileVault 2 inschakelt op een T2 Mac, wordt uw schijf niet versleuteld. De schijf is standaard al versleuteld (en er is geen uit-schakelaar). Het enige dat het doet, is de bescherming associëren (en afdwingen) van het moeten invoeren van een sleutel of een gebruikersnaam en wachtwoord bij toegang tot de schijf via zoiets als de doelschijfmodus. U kunt dezelfde beveiliging functioneel inschakelen voor uw schijf door een firmwarewachtwoord in te stellen. In een zakelijke omgeving heeft FileVault 2 veel meer de voorkeur, omdat u ELKE FileVault 2-sleutel kunt opslaan in een gecentraliseerde database met behulp van een institutionele FileVault 2-sleutel. Bovendien is het niet meer nodig om het FIRMWARE-WACHTWOORD van ELKE Mac te wijzigen wanneer een hooggeplaatste IT-medewerker het bedrijf verlaat.

Ik ben persoonlijk niet de grootste op FileVault 2. Ik vind het onhandig en er zijn inherente eigenaardigheden die het diagnosticeren van een Mac met problemen des te moeilijker kunnen maken als het is ingeschakeld. Maar zeker, op een T2 Mac is het zo snel en gemakkelijk gemaakt dat je er niet echt over na hoeft te denken. Het in- en uitschakelen gaat onmiddellijk en heeft uiteindelijk niet de gevolgen die je zou kunnen hebben op een niet-T2 Mac.

TrevorR90 zei: Ik denk niet dat het dragen ervan de prestaties op enigerlei wijze zal schaden. Het is een extra beveiligingslaag en zoals ik al zei, het kan geen kwaad om het aan te hebben.

Op een T2 Mac heeft het helemaal geen invloed op de prestaties. Als u FileVault 2 inschakelt op een T2-Mac, wordt FileVault alleen maar geassocieerd met de bestaande hardware-encryptie.

Terwijl op een Mac vóór T2 het inschakelen van FileVault 2 vereist dat de schijf daadwerkelijk wordt versleuteld en dat dit zeker langzamere schijfprestaties met zich meebrengt. Hoewel het prestatieverschil niet merkbaar zal zijn op een SSD-kluis voor superschijfintensieve workflows. Casual gebruikers zouden helemaal geen verschil in prestaties moeten merken.
reacties:0279317 en hobowankenobi

mj_

18 mei 2017
Austin, Texas
  • 22 aug. 2020
Yebubbleman zei: Terwijl, op een pre-T2 Mac, het inschakelen van FileVault 2 het daadwerkelijk versleutelen van de schijf vereist en zeker langzamere schijfprestaties met zich meebrengt. Hoewel het prestatieverschil niet merkbaar zal zijn op een SSD-kluis voor superschijfintensieve workflows. Casual gebruikers zouden helemaal geen verschil in prestaties moeten merken.
Goed punt, dat was ik vergeten te vermelden. Ik heb benchmarks uitgevoerd met op mijn externe Samsung 970 EVO in een USB 3.2 Gen 1-hoes op een iMac uit 2017, ook wel een zonder T2-chip genoemd. Zonder FileVault2 haal ik meer dan 950 MB/s in zowel lezen als schrijven. Met FileVault2 ingeschakeld krijg ik ongeveer 650 MB/s schrijft ongeveer 750 MB/s leest. Er is dus een meetbare maar onmerkbare impact op de opslagprestaties.
reacties:hobowankenobi en Boyd01

cool11

3 sep. 2006
  • 2 december 2020
mj_ ​​zei: Dat komt omdat de CPU in je 2013 zo oud is dat het de hardware-decoderingslogica (AES-NI) mist die nodig is voor snelle en efficiënte on-the-fly de- en codering, die daarom moet worden uitgevoerd met behulp van reguliere x86 ALU-uitvoering eenheden. Voor zover ik begrijp missen oudere implementaties van AES-NI ondersteuning voor een specifiek algoritme dat Apple gebruikt voor FileVault2-codering, maar citeer me daar niet over.

Meer recente implementaties van AES-NI zouden dat probleem niet meer moeten hebben.

Dus het zou lastig zijn om filevault in mijn mbp 15' eind 2013 aan te zetten?

Ik begrijp nog steeds niet, praktisch wat filevault een gebruiker kan bieden.

Ik gebruik om al mijn kostbare / privégegevens te hebben, in gecodeerde dmg-afbeeldingen.
Ik open ze als ik daar iets nodig heb, sommige zeldzaam, sommige elke dag.
Ik zeg niet dat het de beste coderingstool is die mogelijk is, maar beter dan niets.

Maar toch kan ik de voor- en nadelen niet meten, in oudere of nieuwere macs.

mj_

18 mei 2017
Austin, Texas
  • 2 december 2020
Het grootste voordeel van FileVault in uw specifieke geval zou zijn dat u niet hoeft te rommelen met versleutelde schijfkopieën. Je hele schijf zou worden gecodeerd, inclusief je browsergeschiedenis, je lokale cache, miniaturen, enz. Alles. Het zou veel veiliger zijn en, belangrijker nog, veel pijnlozer en soepeler dan te maken hebben met versleutelde schijfkopieën.
reacties:hobowankenobi en cool11

cool11

3 sep. 2006
  • 3 december 2020
Hoe werkt Filevault praktisch?
Ik bedoel, niet veel op technische manier, maar in de dagelijkse basis van een gebruikersinteractie.
Wat moet ik naast de check in het 'security' paneel nog meer doen?
En praktisch, wat win ik? Als mijn mbp wordt gestolen of plotseling naar een reparatieservice moet, zijn mijn gegevens dan veilig en versleuteld? Meer dan omgaan met versleutelde dmg?
Of is het eerder gelijkwaardig in termen van echte gegevensbeveiliging? H

hobowankenobi

27 aug. 2015
op de vaste lijn dhr. smid.
  • 3 december 2020
cool11 zei: Hoe werkt Filevault op een praktische manier?
Ik bedoel, niet veel op technische manier, maar in de dagelijkse basis van een gebruikersinteractie.
Wat moet ik naast de check in het 'security' paneel nog meer doen?
En praktisch, wat win ik? Als mijn mbp wordt gestolen of plotseling naar een reparatieservice moet, zijn mijn gegevens dan veilig en versleuteld? Meer dan omgaan met versleutelde dmg?
Of is het eerder gelijkwaardig in termen van echte gegevensbeveiliging?
Ja. Omdat de schijf is gecodeerd, zijn er geen gegevens beschikbaar totdat en tenzij de PW wordt ingevoerd. Dus... als een machine wordt gestolen, was de enige gemakkelijke manier om toegang te krijgen, als deze was ingelogd en wakker was. Ervan uitgaande dat men het automatisch uitloggen in slaapstand (en deksel sluiten) niet uitschakelt, is dit een zeer onwaarschijnlijk scenario. Zelfs als iemand op de een of andere manier een machine zou kunnen stelen terwijl hij ingelogd en wakker was, zouden ze heel voorzichtig moeten zijn om de machine niet te laten slapen, en ze zouden de PW niet gemakkelijk kunnen openen of wijzigen.

Zoals gezegd, aangezien het altijd aan staat, hoeft de gebruiker niets te doen. Alle gegevens en informatie zijn 100% van de tijd veilig.

Het enige nadeel dat ik kon zien, is dat als een machine op de een of andere manier werd gehackt terwijl de gebruiker was ingelogd, gegevens mogelijk konden worden gezien of gekopieerd, ervan uitgaande dat de hacker volledige toegang heeft tot de open, ingelogde Mac. De kans dat dit wordt gestolen, is zeer, zeer klein, aangezien er bijna geen hacks van Macs zijn geweest die externe beheerderstoegang verlenen. En over het algemeen wordt de beveiliging elk jaar beter naarmate het besturingssysteem en de beveiligingsfuncties volwassener worden. Alleen al in de laatste 2-3 OS-updates hebben we een aanzienlijke toename van de Mac-beveiliging gezien, dus de kans dat een externe aanvaller de controle overneemt, blijft afnemen, terwijl fysieke diefstal net zo riskant is als altijd.

En ja, als een machine wordt opgestuurd voor reparatie en de admin/decrypt PW wordt gegeven, zijn uw gegevens beschikbaar voor snuffelaars. Een gemakkelijke manier om het moeilijker te maken, is door simpelweg een tweede beheerdersaccount aan te maken, met een andere PW, zodat geen enkele techneut zich gemakkelijk kan aanmelden bij uw primaire account. Dat zou snuffelen ontkennen, en je zou alleen toegang kunnen krijgen tot je gegevens met redelijk serieus werk om de machtigingen te wijzigen. Meer dan een snuffelaar zou doen... alleen een serieuze hack/diefstal zou proberen. Laatst bewerkt: 3 dec. 2020
reacties:cool11

cool11

3 sep. 2006
  • 4 dec. 2020
Filevault wachtwoord, is hetzelfde met inlogwachtwoord?

Vereist Apple dat een dergelijk wachtwoord wordt gegeven wanneer gebruikers hun machines naar officiële Apple-reparatiecentra sturen? H

hobowankenobi

27 aug. 2015
op de vaste lijn dhr. smid.
  • 4 dec. 2020
cool11 zei: Filevault-wachtwoord, is hetzelfde met het inlogwachtwoord?

Vereist Apple dat een dergelijk wachtwoord wordt gegeven wanneer gebruikers hun machines naar officiële Apple-reparatiecentra sturen?
Ja, zelfde PW. Niets anders te doen of te onthouden.

Alleen ingeschakelde gebruikers kunnen de schijf decoderen en inloggen . Dus ja, als een techneut moet inloggen, moet je een PW geven. Het kan een ander account zijn, als het was ingeschakeld.
reacties:cool11

jalu

12 januari 2021
  • 12 januari 2021
Apple_Robert zei: Met de nieuwere machines kun je niet zien dat FV aan staat. Zo naadloos is het. Ik raad ten zeerste aan om het aan te zetten.
Niet helemaal zeker wat je bedoelt in de eerste zin. In de zin dat je geen prestatieverlies merkt, ben ik het met je eens. U kunt echter zien of FV is ingeschakeld, doe gewoon een

diskutil apfs lijst

En voor elk volume wordt de FileVault-status vermeld

Apple_Robert

21 sep 2012
Tussen verschillende boeken.
  • 12 januari 2021
jaclu zei: Ik weet niet helemaal zeker wat je in de eerste zin bedoelt. In de zin dat je geen prestatieverlies merkt, ben ik het met je eens. U kunt echter zien of FV is ingeschakeld, doe gewoon een

diskutil apfs lijst

En voor elk volume wordt de FileVault-status vermeld
Ik verwees naar prestatievermindering, als niet kunnen vertellen ....
reacties:jalu
  • 1
  • 2
  • 3
  • 4
Volgende

Ga naar pagina

GaanVolgende Laatste
Hoe Moet Ik Apple Nieuws Hoe Privacybeleid hoe
Nintendo stopt met Dr. Mario World iOS-game
Apple's vernieuwde Apple Music for Artists-pictogram leidt tot speculatie over iOS 15-ontwerpplannen
Populaire Berichten

Populaire Berichten

Apple Nieuws
Apple plaagt nieuwe winkel 'Coming Soon' in Square One Mall nabij Toronto
Apple Nieuws
Siri Shortcuts breidt uit naar American Airlines, Caviar en andere apps, binnenkort beschikbaar voor Airbnb
Apple Nieuws
Apple TV 4K-bestellingen worden nu klaargemaakt voor verzending vóór 21 tot 27 mei Leveringsschattingen
Apple Nieuws
Het op Android gebaseerde Uconnect 5-infotainmentsysteem van Fiat Chrysler krijgt draadloze CarPlay en meer
Apple Nieuws
Bezoek paus Franciscus aan NYC en Philadelphia kan leveringen van iPhone 6s op lanceringsdag vertragen
Hoe Moet Ik
Review: OWC's bijgewerkte Thunderbolt 3-dock voegt 85 W opladen, 10 Gbps USB-C-poort en microSD-slot toe