Sul mio MacBook, la mia password utente è ora il tallone d'Achille della crittografia del disco?

0

Da un avvio a freddo, l'unica password necessaria per sbloccare il volume crittografato primario sull'SSD del mio MacBook è solo quella del mio principale utente amministratore. Questo non è sempre stato il caso; era che potevo specificare una passphrase abbastanza lunga e completa da utilizzare nella derivazione delle chiavi ogni volta che dovevo accedere al volume nel suo stato bloccato, quindi una passphrase separata per l'account utente dopo aver sbloccato la partizione.

È molto scomodo per me scrivere una passphrase così lunga per ogni azione a livello di amministratore che potrei dover eseguire durante l'uso occasionale. Sembra improbabile che Apple introdurrebbe un danno così audace per la sicurezza dei dati o l'esperienza degli utenti, quindi sono certo che mi sia sfuggito qualcosa. Quali (se esistono) tutele esistono per proteggere contro la forza bruta ora che l'unico input utente richiesto per decrittografare il mio intero sistema è una password francamente modesta nella schermata di avvio? Capisco che potrebbe cancellare dopo N tentativi, ma naturalmente sto parlando più del rischio di forza bruta dato accesso fisico all'unità / accesso attraverso un'interfaccia agnostica.

Un'altra domanda: c'è modo per me di tornare alla vecchia esperienza senza emularla con un nuovo utente e promuoverla all'amministratore principale del sistema? Per quello che vale, sto usando OS X 10.10 (Yosemite). Credo che il cambiamento di esperienza / abilità apparente sia avvenuto durante l'utilizzo della precedente versione principale del sistema operativo, ma potrebbe essersi verificato prima.

    
posta AJAr 03.02.2015 - 10:00
fonte

1 risposta

1

OS X Lion ha incluso una grande riscrittura e riprogettazione di FileVault, che potrebbe essere il cambiamento che stai guardando. Legacy FileVault (la vecchia versione) ha continuato a funzionare in Lion e persino in Yosemite se hai eseguito un aggiornamento; forse hai fatto un'installazione pulita l'ultima volta, o hai una nuova macchina?

FireVault 2 è un aggiornamento significativo di FileVault legacy e il consiglio generale è che è necessario eseguire l'aggiornamento. Hai ragione che hai bisogno di una password utente decente, ma il fatto è che devi comunque avere una password utente decente!

FDE serve solo a proteggere la macchina quando è spenta; quando è acceso, il sistema operativo deve proteggere la macchina e non può farlo se hai una password di amministratore debole.

Tuttavia, potresti sovrastimare la forza di cui hai bisogno nella tua password. C'era un interessante documento pubblicato nel 2002 che stimava che ci sarebbero voluti circa 34 anni per forzare una password di FileVault 2 con 32 bit di entropia; questo è in realtà una password abbastanza modesta direi. Hai solo bisogno di tre parole Diceware o un carattere alfanumerico casuale di 7 caratteri per ottenere 32 bit.

Non è possibile tornare a Legacy FileVault. Tuttavia, è possibile ottenere un set-up molto simile a quello che si aveva prima semplicemente mantenendo tutti i dati sensibili in un'immagine sparsebundle crittografata. In questo modo, ottieni tutti i vantaggi di FileVault 2, ma i tuoi dati sono anche crittografati con una passphrase molto lunga che devi solo digitare una volta per sessione.

    
risposta data 03.02.2015 - 18:07
fonte

Leggi altre domande sui tag