L'account Guest è un rischio per la sicurezza con crittografia completa del disco su Mountain Lion?

5

Ho attivato la cifratura full-disk di File Vault 2 sul mio MacBook Air 2012 con Mountain Lion. Di default ha anche un account "Guest" solo per Safari disponibile. L'ho provato l'altro giorno e ho scoperto che non richiede alcuna password per avviare il sistema ed eseguire Safari.

Per il mio occhio non controllato, questo sembra un grosso rischio per la sicurezza della crittografia dell'intero disco. Potrebbe essere una porta sul retro per ottenere la chiave per decifrare l'intero disco. Prima di ciò, avevo l'impressione che il disco potesse essere decifrato solo se si dispone di una password o di una chiave di ripristino. Se questa porta sul retro è davvero lì, allora potrei immaginare qualcuno che estrae l'SSD dal Mac e ricostruisca il processo utilizzato dall'account Guest per ottenere la chiave per decodificare il disco senza una password o una chiave di ripristino.

Quindi la mia domanda è: è questo il rischio che percepisco potrebbe essere? Oppure esiste forse un sistema operativo di avvio separato su una piccola parte del disco con la sua chiave di crittografia proprio per l'accesso Guest Safari?

Se è il rischio che penso che sia, allora come posso uccidere l'accesso Guest? Quando lo si uccide, come faccio a sapere che ha rimosso tutti i residui dell'esposizione della chiave di decrittazione per l'intero disco?

Vedo da altre domande che in Lion non era possibile creare un account Guest con File Vault 2, ma ora in Mountain Lion è lì per impostazione predefinita. Forse Apple ha infatti reso sicuro l'account Guest. O forse hanno lasciato una porta sul retro aperta. Non riesco a trovare nulla su questa particolare domanda riguardo a Mountain Lion nella knowledge base di Apple.

    
posta Mark Adler 19.02.2013 - 20:38
fonte

1 risposta

13

No, non lo è. Alcuni dicono che è un vantaggio se si dispone di geo-localizzazione e pulizia remota configurata (o altro software simile) in quanto aumenta la possibilità che qualcuno che trova il Mac la connetterà a Internet.

Quello che sta succedendo è che hai anche Trova il mio Mac. Ciò abilita un account guest solo per Safari che consentirà agli utenti di accedere ed eseguire Safari. L'obiettivo è che se qualcuno ruba il tuo laptop, potrebbe accedere all'account guest e dare a Find My Mac la possibilità di telefonare a casa.

L'account guest solo Safari utilizza la partizione di ripristino non crittografata per avviare Safari. Non decodifica la tua area FileVault, quindi i tuoi dati rimangono al sicuro.

(Ho trovato un articolo della knowledge base di Apple confermando questo .)

    
risposta data 19.02.2013 - 20:50
fonte

Leggi altre domande sui tag