SRQrws
Originalplakat- 4. August 2020
- 12. August 2020
Hobowankenobi
- 27.08.2015
- auf dem Festnetz mr. Schmied.
- 12. August 2020
In den schlechten alten Zeiten war es, wie Sie zu Recht betonen, ziemlich trivial, über TDM auf ein Laufwerk zuzugreifen oder das Laufwerk zu entfernen, um auf Daten zuzugreifen.
OTOH ... bei rotierenden Festplatten waren Leistungseinbußen sowie die anfängliche Verschlüsselungszeit ein guter Grund, es NICHT zu verschlüsseln.
All das ist jetzt im Wesentlichen verschwunden (zumindest auf den neueren Macs), also ... die alten Gewohnheiten (sowohl dafür als auch dagegen) müssen in den Ruhestand versetzt werden.
Der einzige Grund, warum ich die Verwendung von Filevault unterbreche, sind Mehrbenutzercomputer, wie z. B. ein Schullabor oder ein gemeinsam genutzter Arbeitsplatz.
Das ... und die Angst, dass einige Benutzer ihr PW einfach vergessen, und das wird für alle schmerzhafter, als nur die vergessenen Anmeldedaten. T
TrevorR90
- 1. Oktober 2009
- 14. August 2020
Hobowankenobi
- 27.08.2015
- auf dem Festnetz mr. Schmied.
- 14. August 2020
thetillyt
- 8. April 2020
- 14. August 2020
hobowankenobi sagte: Es ist jetzt kein Performance-Hit, sowohl wegen SSD als auch APFS. Es war schmerzhaft ... vor vielen Jahren. Manche haben vielleicht noch einen schlechten Geschmack im Mund aus der schlechten alten Zeit.Ich erinnere mich, dass beim Einschalten die Leistung ziemlich stark beeinträchtigt wurde ...
Boyd01
Moderator
Mitarbeiter- 21. Februar 2012
- Pine Barrens in New Jersey
- 14. August 2020
Apple_Robert
- 21.09.2012
- Mitten in mehreren Büchern.
- 14. August 2020
Ich stimme den vorherigen Posts zu, die über die langsamen alten Zeiten sprechen. Die Verzögerung war spürbar und es würde Tage dauern, ein großes Laufwerk zu verschlüsseln. Gut, dass diese Zeiten vorbei sind.
mj_
- 18. Mai 2017
- Austin, TX
- 15.08.2020
SRQrws sagte: Aber mit dem T2-Chip, wenn jemand den Mac stahl und die SSD entfernte, könnten sie dann Daten davon bekommen?Zugegeben, das wäre nicht mehr möglich. Es gibt jedoch immer noch mehrere Möglichkeiten, auf Ihre Dateien zuzugreifen, wenn FileVault2 deaktiviert ist. Sie könnten beispielsweise in den Zielfestplattenmodus booten und vollen Zugriff auf das Laufwerk haben. Wenn auf Ihrem Mac das Booten von externen Quellen aktiviert ist, können Sie auch von einem USB-Laufwerk booten und vollen Zugriff auf das Laufwerk haben. Booten von externen Quellen ist nicht aktiviert? Kein Problem, booten Sie einfach in die Wiederherstellung und erstellen Sie entweder eine vollständige Kopie mit dem Festplattendienstprogramm oder, noch besser, verwenden Sie das Terminal, um das Passwort des Benutzers zurückzusetzen, starten Sie dann einfach den Mac normal und haben Sie vollen Zugriff auf alles auf dem Laufwerk.
Es gibt wahrscheinlich noch mehr Möglichkeiten, an die ich jetzt noch nicht gedacht habe.
SRQrws
Originalplakat- 4. August 2020
- 15.08.2020
mj_ sagte: Zugegeben, das wäre nicht mehr möglich. Es gibt jedoch immer noch mehrere Möglichkeiten, auf Ihre Dateien zuzugreifen, wenn FileVault2 deaktiviert ist. Sie könnten beispielsweise in den Zielfestplattenmodus booten und vollen Zugriff auf das Laufwerk haben. Wenn auf Ihrem Mac das Booten von externen Quellen aktiviert ist, können Sie auch von einem USB-Laufwerk booten und vollen Zugriff auf das Laufwerk haben. Booten von externen Quellen ist nicht aktiviert? Kein Problem, booten Sie einfach in die Wiederherstellung und erstellen Sie entweder eine vollständige Kopie mit dem Festplattendienstprogramm oder, noch besser, verwenden Sie das Terminal, um das Passwort des Benutzers zurückzusetzen, starten Sie dann einfach den Mac normal und haben Sie vollen Zugriff auf alles auf dem Laufwerk.Vielen Dank für die ausführlichen Infos. Ich hatte keine Ahnung, dass es mehrere Möglichkeiten gibt, das Login-Passwort zu umgehen, um auf Daten zuzugreifen. Ich habe gerade FileVault auf allen meinen Macs aktiviert.
Es gibt wahrscheinlich noch mehr Möglichkeiten, an die ich jetzt noch nicht gedacht habe.
sgtaylor5
Mitwirkender
- 6. August 2017
- Cheney, WA, USA
- 21.08.2020
mj_
- 18. Mai 2017
- Austin, TX
- 21.08.2020
Neuere Implementierungen von AES-NI sollten dieses Problem nicht mehr haben.
sgtaylor5
Mitwirkender
- 6. August 2017
- Cheney, WA, USA
- 21.08.2020
Nur in der Computerbranche könnte ein Gerät aus dem Jahr 2013 als alt gelten. Es hat viele Jahrzehnte gedauert, bis die Situation in meinem Leben stimmte und ich mit fünf Jahren meinen aktuellen Mac zum halben Preis kaufen konnte. Liebe es; es war ein Arbeitstier für mich.
avz
- 7. Okt. 2018
- 21.08.2020
sgtaylor5 sagte: Danke für diese Erklärung; andere, die diesen Thread besuchen, werden ihn sehen wollen.
Nur in der Computerbranche könnte ein Gerät aus dem Jahr 2013 als alt gelten. Es hat viele Jahrzehnte gedauert, bis die Situation in meinem Leben stimmte und ich mit fünf Jahren meinen aktuellen Mac zum halben Preis kaufen konnte. Liebe es; es war ein Arbeitstier für mich.
Ich habe FV auf meinem MacBook von Ende 2008 auf beiden Laufwerken aktiviert (Mavericks auf HFS+-Original-HDD mit 5400 U/min und Mojave auf APFS-SSD). Ich bemerke keine Leistungseinbußen oder Temperaturänderungen. Vielleicht möchten Sie eine Wärmeleitpaste ersetzen und den Staub im Inneren des Geräts entfernen/eine Batterie ersetzen.
sgtaylor5
Mitwirkender
- 6. August 2017
- Cheney, WA, USA
- 21.08.2020
BuffyzDead
- 30. Dezember 2008
- 21.08.2020
SRQrws sagte: Ich bin gespannt, wie viele Leute FileVault verwenden und ob es auf Macs mit SSDs, T2-Chips und deaktiviertem Auto-Login wirklich notwendig ist. Ich denke, meine Frage ist, wenn Sie so eingestellt sind, dass Sie immer ein Passwort für die Anmeldung benötigen und keine Platter-Festplatte haben, die bei Diebstahl und Zugriff entfernt werden könnte, ist FileVault dann wirklich notwendig? Ich verschlüssele meine Time Machine-Backups auf externen Laufwerken und verstehe den Grund dafür. Aber mit dem T2-Chip, wenn jemand den Mac stahl und die SSD entfernte, könnten sie dann Daten davon bekommen? Dies mag für die Experten hier eine triviale Frage sein, aber ich freue mich über jeden Gedanken.
Dieser aktuelle Artikel wird mehr Licht ins Dunkel bringen, damit alle entscheiden können.
Wie FileVault und der T2-Sicherheitschip in neueren Macs zusammenarbeiten
Macs mit einem T2-Chip verschlüsseln immer ihre Laufwerke. Warum ist FileVault notwendig?
Yebubbleman
- 20. Mai 2010
- Los Angeles, Kalifornien
- 21.08.2020
SRQrws sagte: Ich bin gespannt, wie viele Leute FileVault verwenden und ob es auf Macs mit SSDs, T2-Chips und deaktiviertem Auto-Login wirklich notwendig ist. Ich denke, meine Frage ist, wenn Sie so eingestellt sind, dass Sie immer ein Passwort für die Anmeldung benötigen und keine Platter-Festplatte haben, die bei Diebstahl und Zugriff entfernt werden könnte, ist FileVault dann wirklich notwendig? Ich verschlüssele meine Time Machine-Backups auf externen Laufwerken und verstehe den Grund dafür. Aber mit dem T2-Chip, wenn jemand den Mac stahl und die SSD entfernte, könnten sie dann Daten davon bekommen? Dies mag für die Experten hier eine triviale Frage sein, aber ich freue mich über jeden Gedanken.
FileVault 2 ist 'notwendig' ist subjektiv. Wenn Sie in einem Unternehmen tätig sind, ist dies wahrscheinlich aus den gleichen Gründen wie BitLocker oder ein anderes Windows-Softwarepaket zur vollständigen Festplattenverschlüsselung erforderlich. Wenn es nur um Sie geht und Sie keine sensiblen Informationen auf Ihrem Mac haben, ist dies eine Frage Ihrer persönlichen Präferenz.
Um Ihre Frage zu beantworten „Wenn jemand die SSD auf einem T2-Mac entfernen könnte, könnte er dann an die Daten gelangen?“, lautet die kurze Antwort nein.
Die SSDs sind bei den ab 2018 eingeführten MacBook Pros, MacBook Airs und Mac minis auf dem Main Logic Board integriert (sprich: verlötet), so dass dies nicht einmal physikalisch möglich ist. Sie sind technisch vollständig entfernbar auf dem Mac Pro und iMac Pro und teilweise entfernbar auf 4 TB und 8 TB 2020 27' iMacs (dabei befindet sich ein Teil des Laufwerks auf dem Logic Board und ein Teil davon in einem 2-4 TB Erweiterungsmodul) . Der T2 ist der SSD-Controller auf allen T2-Macs, und der T2 ist werksseitig mit dem Speicher gekoppelt. Wenn Sie die Speichermodule vom Logic Board des T2 Mac entfernen, mit dem er ursprünglich gekoppelt war, gehen die Daten effektiv verloren.
Wie oben erwähnt, können Sie den Zielfestplattenmodus auf einem Mac immer noch verwenden, um Dateien abzurufen, ohne ein Kennwort eingeben zu müssen. Ja, Ihre Daten werden auf einem T2-Mac immer verschlüsselt, aber Sie haben keinen Schutzmechanismus, der verhindert, dass der Zielfestplattenmodus Ihren T2-Mac weiterhin für einen anderen Mac zugänglich macht.
Beim Einschalten von FileVault 2 auf einem T2-Mac wird Ihr Laufwerk nicht verschlüsselt. Das Laufwerk ist bereits standardmäßig verschlüsselt (und es gibt keinen Ausschalter). Alles, was es tut, ist, den Schutz zu verknüpfen (und durchzusetzen), dass beim Zugriff auf das Laufwerk über etwas wie den Zielfestplattenmodus entweder ein Schlüssel oder ein Benutzername und ein Kennwort eingegeben werden müssen. Sie können denselben Schutz für Ihr Laufwerk funktional aktivieren, indem Sie ein Firmware-Passwort festlegen. In einer geschäftlichen Umgebung wird FileVault 2 viel bevorzugter, da Sie JEDEN FileVault 2-Schlüssel mit einem institutionellen FileVault 2-Schlüssel in einer zentralen Datenbank hinterlegen können. Außerdem entfällt die Notwendigkeit, das FIRMWARE-PASSWORT JEDES Macs zu ändern, wenn ein hochrangiger IT-Mitarbeiter das Unternehmen verlässt.
Ich persönlich bin nicht der Größte bei FileVault 2. Ich denke, es ist klobig und es gibt inhärente Macken, die die Diagnose eines Mac mit Problemen erschweren können, wenn er aktiviert ist. Aber auf einem T2-Mac ist es auf jeden Fall so schnell und einfach, dass Sie nicht wirklich darüber nachdenken müssen. Das Ein- und Ausschalten erfolgt augenblicklich und hat letztendlich nicht die Auswirkungen, die Sie möglicherweise auf einem Nicht-T2-Mac haben.
TrevorR90 sagte: Ich glaube nicht, dass das Einschalten die Leistung in irgendeiner Weise beeinträchtigen wird. Es ist eine weitere Sicherheitsebene und wie gesagt, es schadet nicht, es an zu haben.
Auf einem T2-Mac wirkt sich dies überhaupt nicht auf die Leistung aus. Beim Einschalten von FileVault 2 auf einem T2-Mac wird FileVault nur mit der vorhandenen Hardwareverschlüsselung verknüpft.
Auf einem Mac vor T2 erfordert die Aktivierung von FileVault 2 hingegen eine tatsächliche Verschlüsselung des Laufwerks und führt definitiv zu einer langsameren Laufwerksleistung. Allerdings wird der Leistungsunterschied auf einem SSD-Safe für superfestplattenintensive Workflows nicht spürbar sein. Gelegenheitsnutzer dürften keinen Leistungsunterschied bemerken.
mj_
- 18. Mai 2017
- Austin, TX
- 22. August 2020
Yebubbleman sagte: Während die Aktivierung von FileVault 2 auf einem Mac vor T2 eine Verschlüsselung des Laufwerks erfordert und definitiv zu einer langsameren Laufwerksleistung führt. Allerdings wird der Leistungsunterschied auf einem SSD-Safe für superfestplattenintensive Workflows nicht spürbar sein. Gelegenheitsnutzer dürften keinen Leistungsunterschied bemerken.Super Punkt, das habe ich vergessen zu erwähnen. Ich habe Benchmarks mit meinem externen Samsung 970 EVO in einem USB 3.2 Gen 1-Gehäuse auf einem 2017er iMac, auch bekannt ohne T2-Chip, durchgeführt. Ohne FileVault2 erreiche ich sowohl beim Lesen als auch beim Schreiben über 950 MB/s. Mit aktiviertem FileVault2 erhalte ich etwa 650 MB/s Schreibvorgänge und etwa 750 MB/s Lesevorgänge. Es gibt somit einen messbaren, aber nicht wahrnehmbaren Einfluss auf die Speicherleistung.
cool11
- 3. September 2006
- 2. Dez. 2020
mj_ sagte: Das liegt daran, dass die CPU in Ihrem 2013 so alt ist, dass ihr die Hardware-Entschlüsselungslogik (AES-NI) fehlt, die für eine schnelle und effiziente On-the-Fly-Ent- und Verschlüsselung erforderlich ist, die daher mit der regulären x86-ALU-Ausführung durchgeführt werden muss Einheiten. Soweit ich weiß, fehlt älteren Implementierungen von AES-NI die Unterstützung für einen bestimmten Algorithmus, den Apple für die FileVault2-Verschlüsselung verwendet, aber zitieren Sie mich nicht dazu.
Neuere Implementierungen von AES-NI sollten dieses Problem nicht mehr haben.
Es wäre also mühsam, Filevault in meinem Mbp 15' Ende 2013 zu aktivieren?
Ich verstehe immer noch nicht, was Filevault einem Benutzer praktisch bieten kann.
Ich habe alle meine wertvollen/privaten Daten in verschlüsselten dmg-Bildern.
Ich öffne sie, wenn ich von dort etwas brauche, manche selten, manche täglich.
Ich sage nicht, dass es das beste Verschlüsselungstool ist, aber besser als nichts.
Trotzdem kann ich die Vor- und Nachteile bei älteren oder neueren Macs nicht messen.
mj_
- 18. Mai 2017
- Austin, TX
- 2. Dez. 2020
cool11
- 3. September 2006
- 3. Dez. 2020
Ich meine, nicht viel in technischer Hinsicht, sondern in der täglichen Basis einer Benutzerinteraktion.
Was soll ich außer der Überprüfung im 'Sicherheits'-Panel noch tun?
Und praktisch, was gewinne ich? Wenn mein mbp gestohlen wird oder plötzlich zu einem Reparaturdienst geschickt werden soll, sind meine Daten sicher und verschlüsselt? Mehr als der Umgang mit verschlüsselten dmg?
Oder ist es etwas Äquivalentes in Bezug auf echte Datensicherheit? h
Hobowankenobi
- 27.08.2015
- auf dem Festnetz mr. Schmied.
- 3. Dez. 2020
cool11 sagte: Wie funktioniert Filevault praktisch?Jawohl. Da das Laufwerk verschlüsselt ist, sind keine Daten verfügbar, bis das PW eingegeben wird. Wenn also eine Maschine gestohlen wird, war der einzige einfache Weg, sich Zugang zu verschaffen, wenn sie eingeloggt und wach war. Vorausgesetzt, man deaktiviert die automatische Abmeldung beim Schlafen (und Schließen des Deckels) nicht, ein sehr unwahrscheinliches Szenario. Selbst wenn man im eingeloggten und wachen Zustand irgendwie eine Maschine stehlen könnte, müsste man sehr vorsichtig sein, um die Maschine nicht schlafen zu lassen, und sie könnten nicht einfach auf das PW zugreifen oder es ändern.
Ich meine, nicht viel in technischer Hinsicht, sondern in der täglichen Basis einer Benutzerinteraktion.
Was soll ich außer der Überprüfung im 'Sicherheits'-Panel noch tun?
Und praktisch, was gewinne ich? Wenn mein mbp gestohlen wird oder plötzlich zu einem Reparaturdienst geschickt werden soll, sind meine Daten sicher und verschlüsselt? Mehr als der Umgang mit verschlüsselten dmg?
Oder ist es etwas Äquivalentes in Bezug auf echte Datensicherheit?
Wie bereits erwähnt, da es immer an ist, nichts für den Benutzer zu tun. Alle Daten und Informationen sind zu 100 % sicher.
Der einzige Nachteil, den ich sehen konnte, ist, dass, wenn ein Computer irgendwie gehackt wurde, während der Benutzer angemeldet war, möglicherweise Daten eingesehen oder kopiert werden konnten, vorausgesetzt, der Hacker hat vollen Zugriff auf den offenen, angemeldeten Mac. Die Wahrscheinlichkeit, dass dies gestohlen wird, ist sehr, sehr gering, wenn man bedenkt, dass es fast keine Hacks von Macs gab, die einen Remote-Administratorzugriff ermöglichen. Und im Allgemeinen verbessert sich die Sicherheit jedes Jahr, wenn das Betriebssystem und die Sicherheitsfunktionen ausgereift sind. Gerade in den letzten 2-3 OS-Updates haben wir eine erhebliche Erhöhung der Mac-Sicherheit festgestellt, sodass die Wahrscheinlichkeit, dass ein Remote-Angreifer die Kontrolle übernimmt, weiter sinkt, während physischer Diebstahl so riskant ist wie eh und je.
Und ja, wenn eine Maschine zur Reparatur geschickt wird und das Admin-/Entschlüsselungs-PW angegeben wird, sind Ihre Daten für Schnüffler verfügbar. Eine einfache Möglichkeit, dies zu erschweren, besteht darin, einfach ein zweites Administratorkonto mit einem anderen PW zu erstellen, damit sich kein Techniker einfach bei Ihrem Hauptkonto anmelden kann. Das würde jedes Schnüffeln verbieten, und man könnte nur mit einiger ernsthafter Arbeit auf Ihre Daten zugreifen, um die Berechtigungen zu ändern. Mehr als ein Schnüffler tun würde ... nur ein ernsthafter Hack/Diebstahl würde versuchen. Zuletzt bearbeitet: 03.12.2020
cool11
- 3. September 2006
- 4. Dezember 2020
Verlangt Apple, dass ein solches Passwort angegeben wird, wenn Benutzer ihre Geräte an offizielle Apple-Reparaturzentren schicken? h
Hobowankenobi
- 27.08.2015
- auf dem Festnetz mr. Schmied.
- 4. Dezember 2020
cool11 sagte: Filevault-Passwort, ist das gleiche mit dem Login-Passwort?Ja, gleiches PW. Nichts anderes zu tun oder zu erinnern.
Verlangt Apple, dass ein solches Passwort angegeben wird, wenn Benutzer ihre Geräte an offizielle Apple-Reparaturzentren schicken?
Nur aktivierte Benutzer können das Laufwerk entschlüsseln und sich anmelden . Also ja, wenn sich ein Techniker einloggen muss, müsstest du ein PW geben. Es könnte ein anderes Konto sein, wenn es aktiviert wurde.
jaclu
- 12.01.2021
- 12.01.2021
Apple_Robert sagte: Bei den neueren Maschinen kann man nicht sagen, dass FV eingeschaltet ist. So nahtlos ist es. Ich empfehle dringend, es einzuschalten.Ich bin mir nicht ganz sicher, was Sie im ersten Satz meinen. In dem Sinne, dass Sie keinen Leistungsverlust bemerken, stimme ich zu. Sie können jedoch feststellen, ob FV eingeschaltet ist, tun Sie einfach ein
diskutil apfs-Liste
Und für jedes Volume wird sein FileVault-Status aufgelistet
Apple_Robert
- 21.09.2012
- Mitten in mehreren Büchern.
- 12.01.2021
jaclu sagte: Ich bin mir nicht ganz sicher, was Sie mit dem ersten Satz meinen. In dem Sinne, dass Sie keinen Leistungsverlust bemerken, stimme ich zu. Sie können jedoch feststellen, ob FV eingeschaltet ist, tun Sie einfach einIch bezog mich auf Leistungseinbußen, da ich nicht in der Lage war, es zu sagen....
diskutil apfs-Liste
Und für jedes Volume wird sein FileVault-Status aufgelistet
- 1
- 2
- 3
- 4
Beliebte Beiträge