Fòrums

FileVault - Sí o No

SRQrws

Cartell original
4 d'agost de 2020
  • 12 d'agost de 2020
Tinc curiositat per saber quantes persones fan servir FileVault i si és realment necessari en Mac amb SSD, xips T2 i l'inici de sessió automàtic desactivat. Suposo que la meva pregunta és, si esteu configurat per demanar sempre una contrasenya per iniciar la sessió i no teniu un disc dur de plat que es pugui treure si us roben i accediu, és realment necessari FileVault? Encripto les meves còpies de seguretat de Time Machine en unitats externes i entenc clarament el motiu de fer-ho. Però amb el xip T2, si algú va robar el Mac i va treure el SSD, podria obtenir-ne dades? Aquesta pot ser una pregunta trivial per als experts aquí, però agraeixo els pensaments de qualsevol. H

hobowankenobi

27 d'agost de 2015


a la línia terrestre mr. ferrer.
  • 12 d'agost de 2020
Una pregunta justa. Crec que la resposta variarà àmpliament en funció de moltes variables, inclosa la configuració general de seguretat, el risc d'ús/viatges/robatoris i el que hi ha a la màquina (quina és la sensibilitat).

En els dolents vells temps, com assenyaleu amb raó, era bastant trivial accedir a una unitat mitjançant TDM o eliminar la unitat per accedir a les dades.
OTOH... amb discos giratoris, èxits de rendiment i temps de xifrat inicial era una bona raó per NO xifrar-lo.

Tot això essencialment ha desaparegut ara (almenys en els Mac recents), així que... els vells hàbits (tant a favor com en contra) s'han de retirar.

L'únic motiu que em fa una pausa per utilitzar filevault és en màquines multiusuari, com ara un laboratori escolar o una estació de treball compartida.

Això... i la por que alguns usuaris simplement oblidin el seu PW, i això es converteix en un dolor per a tothom, d'una manera molt més gran que les credencials d'inici de sessió oblidades. T

TrevorR90

Oct 1, 2009
  • 14 d'agost de 2020
No crec que tenir-lo posat perjudiqui el rendiment de cap manera. És una altra capa de seguretat i, com he dit, no fa mal portar-lo. H

hobowankenobi

27 d'agost de 2015
a la línia terrestre mr. ferrer.
  • 14 d'agost de 2020
Ara no és un èxit de rendiment, tant per SSD com per APFS. Això era dolorós... fa molts anys. Alguns encara poden tenir un mal gust de boca dels mals vells temps.
Reaccions:thetillyt T

thetillyt

8 d'abril de 2020
  • 14 d'agost de 2020
hobowankenobi va dir: Ara no és un èxit de rendiment, tant per SSD com per APFS. Això era dolorós... fa molts anys. Alguns encara poden tenir un mal gust de boca dels mals vells temps.
Recordo que quan el vaig encendre va fer mal rendiment...
Reaccions:hobowankenobi

Boyd01

Moderador
Membre del personal
Feb 21, 2012
New Jersey Pine Barrens
  • 14 d'agost de 2020
No tinc una GPU externa, però hi ha hagut una discussió al fòrum Mini que amb filevault activat, la sol·licitud de contrasenya només apareixerà en un monitor connectat directament. Per tant, si els vostres monitors estan connectats a l'eGPU, no veureu el diàleg de contrasenya a l'inici.
Reaccions:Yebubbleman

Apple_Robert

set 21, 2012
Enmig de diversos llibres.
  • 14 d'agost de 2020
Amb les màquines més noves, no es pot dir que FV està activat. És així de sense fissures. Recomano molt activar-lo.

Estic d'acord amb les publicacions anteriors que parlen dels vells temps lents. El retard era notable i trigaria dies a xifrar una unitat gran. M'alegro que s'acabin aquests dies.
Reaccions:Photopooba

mj_

18 de maig de 2017
Austin, TX
  • 15 d'agost de 2020
SRQrws va dir: Però amb el xip T2, si algú va robar el Mac i va treure el SSD, podria obtenir-ne dades?
És cert que això ja no seria possible. Tanmateix, encara hi ha diverses maneres d'accedir als vostres fitxers amb FileVault2 desactivat. Per exemple, podeu arrencar en mode de disc de destinació i tenir accés complet a la unitat. Si el vostre Mac té activat l'arrencada des de fonts externes, també podeu arrencar des d'una unitat USB i tenir accés complet a la unitat. L'arrencada des de fonts externes no està habilitat? No és gran, només engegueu la recuperació i feu una còpia completa amb la utilitat de disc o, encara millor, utilitzeu el Terminal per restablir la contrasenya de l'usuari, després simplement arrenqueu el Mac amb normalitat i tingueu accés complet a tot el que hi ha a la unitat.

Probablement hi ha més maneres que ara mateix no pensava.
Reaccions:Leon1das

SRQrws

Cartell original
4 d'agost de 2020
  • 15 d'agost de 2020
mj_ ​​va dir: És cert que això ja no seria possible. Tanmateix, encara hi ha diverses maneres d'accedir als vostres fitxers amb FileVault2 desactivat. Per exemple, podeu arrencar en mode de disc de destinació i tenir accés complet a la unitat. Si el vostre Mac té activat l'arrencada des de fonts externes, també podeu arrencar des d'una unitat USB i tenir accés complet a la unitat. L'arrencada des de fonts externes no està habilitat? No és gran, només engegueu la recuperació i feu una còpia completa amb la utilitat de disc o, encara millor, utilitzeu el Terminal per restablir la contrasenya de l'usuari, després simplement arrenqueu el Mac amb normalitat i tingueu accés complet a tot el que hi ha a la unitat.

Probablement hi ha més maneres que ara mateix no pensava.
Gràcies per la informació detallada. No tenia ni idea que hi havia diverses maneres d'eludir la contrasenya d'inici de sessió per accedir a les dades. Acabo d'habilitar FileVault a tots els meus Mac.

sgtaylor5

Col·laborador
6 d'agost de 2017
Cheney, WA, Estats Units
  • 21 d'agost de 2020
Punt d'interès: sé que aquest fet no és rellevant per al MacBook Pro modern amb el xip T2, però recentment he descobert que FV va fer que el meu MBP de finals de 2013 (i5/8/256) s'escalfi 2 o 3 graus (consistentment a alt. Sierra i Mojave, utilitzant el control del ventilador de Macs a 3000 rpm i CPU PECI com a font temporal)

mj_

18 de maig de 2017
Austin, TX
  • 21 d'agost de 2020
Això es deu al fet que la CPU del vostre 2013 és tan antiga que no té la lògica de desxifrat de maquinari (AES-NI) necessària per a un xifratge i desxifrat ràpid i eficient sobre la marxa, que, per tant, s'ha de fer amb unitats d'execució ALU x86 habituals. Pel que entenc, les implementacions més antigues d'AES-NI no tenen suport per a un algorisme específic que Apple utilitza per a l'encriptació de FileVault2, però no em cites sobre això.

Les implementacions més recents d'AES-NI ja no haurien de tenir aquest problema.
Reaccions:cool11, sgtaylor5, Weaselboy i 1 persona més

sgtaylor5

Col·laborador
6 d'agost de 2017
Cheney, WA, Estats Units
  • 21 d'agost de 2020
Gràcies per aquesta explicació; els altres que visiten aquest fil voldran veure-ho.

Només a la indústria informàtica es podria considerar antic un dispositiu del 2013 . Vaig trigar moltes dècades fins que la situació era correcta a la meva vida i vaig poder comprar el meu Mac actual a la meitat del preu quan tenia cinc anys. M'encanta; ha estat un cavall de batalla per a mi.
Reaccions:Boyd01 A

avz

Oct 7, 2018
  • 21 d'agost de 2020
sgtaylor5 va dir: Gràcies per aquesta explicació; els altres que visiten aquest fil voldran veure-ho.

Només a la indústria informàtica es podria considerar antic un dispositiu del 2013 . Vaig trigar moltes dècades fins que la situació era correcta a la meva vida i vaig poder comprar el meu Mac actual a la meitat del preu quan tenia cinc anys. M'encanta; ha estat un cavall de batalla per a mi.

Tinc FV habilitat al meu MacBook de finals de 2008 en ambdues unitats (Mavericks a HFS+ HDD original de 5400 rpm i Mojave a SSD APFS). No noto cap èxit de rendiment ni canvis de temperatura. És possible que vulgueu buscar la substitució d'un compost tèrmic i netejar la pols dins de la màquina/substituir una bateria.

sgtaylor5

Col·laborador
6 d'agost de 2017
Cheney, WA, Estats Units
  • 21 d'agost de 2020
Gràcies; Ja he fet els dos primers suggeriments i la meva bateria està bé amb 368 cicles fins ara.

BuffyzDead

30 de desembre de 2008
  • 21 d'agost de 2020
SRQrws va dir: Tinc curiositat per saber quantes persones fan servir FileVault i si realment és necessari en Mac amb SSD, xips T2 i inici de sessió automàtic desactivat. Suposo que la meva pregunta és, si esteu configurat per demanar sempre una contrasenya per iniciar la sessió i no teniu un disc dur de plat que es pugui treure si us roben i accediu, és realment necessari FileVault? Encripto les meves còpies de seguretat de Time Machine en unitats externes i entenc clarament el motiu de fer-ho. Però amb el xip T2, si algú va robar el Mac i va treure el SSD, podria obtenir-ne dades? Aquesta pot ser una pregunta trivial per als experts aquí, però agraeixo els pensaments de qualsevol.

Aquest article oportú donarà més llum perquè tothom pugui decidir.

Com funcionen junts FileVault i el xip de seguretat T2 en els Mac més nous

Els Mac amb xip T2 sempre xifren les seves unitats. Per què és necessari FileVault?
Reaccions:ghanwani i svanstrom

Yebubbleman

20 de maig de 2010
Los Angeles, CA
  • 21 d'agost de 2020
SRQrws va dir: Tinc curiositat per saber quantes persones fan servir FileVault i si realment és necessari en Mac amb SSD, xips T2 i inici de sessió automàtic desactivat. Suposo que la meva pregunta és, si esteu configurat per demanar sempre una contrasenya per iniciar la sessió i no teniu un disc dur de plat que es pugui treure si us roben i accediu, és realment necessari FileVault? Encripto les meves còpies de seguretat de Time Machine en unitats externes i entenc clarament el motiu de fer-ho. Però amb el xip T2, si algú va robar el Mac i va treure el SSD, podria obtenir-ne dades? Aquesta pot ser una pregunta trivial per als experts aquí, però agraeixo els pensaments de qualsevol.

FileVault 2 és 'necessari' és subjectiu. Si sou en una empresa, probablement sigui necessari pels mateixos motius que BitLocker o algun altre paquet de programari de xifratge de disc complet de Windows. Si només sou vosaltres i no teniu cap informació sensible al vostre Mac, és una qüestió de preferències personals.

Per respondre a la vostra pregunta 'si algú pogués treure l'SSD en un Mac T2, podria obtenir les dades?', la resposta breu és no.

Els SSD s'integren (llegiu: soldats) a la placa lògica principal dels MacBook Pros, MacBook Airs i Mac mini introduïts a partir del 2018, de manera que ni tan sols és físicament possible. Tècnicament són completament extraïbles al Mac Pro i iMac Pro, i parcialment extraïbles als iMacs de 27' de 4TB i 8TB 2020 (en aquesta part de la unitat es troba a la placa lògica i una part en un mòdul d'expansió de 2-4TB) . El T2 és el controlador SSD de tots els Mac T2 i el T2 es combina amb l'emmagatzematge de fàbrica. Si elimineu els mòduls d'emmagatzematge de la placa lògica del Mac T2 amb el qual es va emparellar inicialment, les dades es perden efectivament.

Com s'ha dit anteriorment, encara podeu utilitzar el mode de disc de destinació en un Mac per treure fitxers sense haver d'introduir cap tipus de contrasenya. Sí, les vostres dades sempre estan xifrades en un Mac T2, però no teniu cap mecanisme de protecció establert per bloquejar el mode de disc de destinació perquè el vostre Mac T2 encara sigui accessible per a un altre Mac.

Activar FileVault 2 en un Mac T2 no xifra la vostra unitat. La unitat ja està xifrada per defecte (i no hi ha cap interruptor d'apagada). Tot el que fa és associar (i fer complir) la protecció d'haver d'introduir una clau o un nom d'usuari i una contrasenya en accedir a la unitat mitjançant alguna cosa com el mode de disc objectiu. Podeu activar funcionalment la mateixa protecció a la vostra unitat si establiu una contrasenya de microprogramari. En un entorn empresarial, FileVault 2 és molt més preferit, ja que podeu guardar CADA clau de FileVault 2 a una base de dades centralitzada mitjançant una clau institucional de FileVault 2. A més, elimina la necessitat de canviar la CONTRAsenya del FIRMWARE de TOTS els Mac quan un empleat informàtic d'alt nivell deixa l'empresa.

No sóc el més gran de FileVault 2, personalment. Crec que és maldestre i hi ha peculiaritats inherents que poden fer que el diagnòstic d'un Mac amb problemes sigui encara més difícil de tractar quan està activat. Però, sens dubte, en un Mac T2, està fet per ser tan ràpid i fàcil que no cal que hi penseu realment. Engegar-lo i apagar-lo és instantani i, finalment, no té el tipus de ramificacions que podríeu tenir en un Mac que no sigui T2.

TrevorR90 va dir: No crec que tenir-lo posat perjudiqui el rendiment de cap manera. És una altra capa de seguretat i, com he dit, no fa mal portar-lo.

En un Mac T2, no afecta gens el rendiment. Activar FileVault 2 en un Mac T2 només associa FileVault amb el xifratge de maquinari existent.

Mentre que, en un Mac anterior a T2, habilitar FileVault 2 requereix xifrar la unitat i, sens dubte, comportarà un rendiment de la unitat més lent. Tot i que, la diferència de rendiment no es notarà en un SSD segur per a fluxos de treball intensius de super disc. Els usuaris ocasionals no haurien de notar cap diferència de rendiment.
Reaccions:0279317 i hobowankenobi

mj_

18 de maig de 2017
Austin, TX
  • 22 d'agost de 2020
Yebubbleman va dir: Mentre que, en un Mac anterior a T2, habilitar FileVault 2 requereix xifrar la unitat i, sens dubte, comportarà un rendiment de la unitat més lent. Tot i que, la diferència de rendiment no es notarà en un SSD segur per a fluxos de treball intensius de super disc. Els usuaris ocasionals no haurien de notar cap diferència de rendiment.
Excel·lent punt, m'he oblidat d'esmentar-ho. Vaig fer benchmarks amb el meu Samsung 970 EVO extern dins d'una funda USB 3.2 Gen 1 en un iMac del 2017, també conegut com un sense xip T2. Sense FileVault2 tinc més de 950 MB/s tant en lectura com en escriptura. Amb FileVault2 habilitat, tinc uns 650 MB/s d'escriptures al voltant de 750 MB/s de lectura. Per tant, hi ha un impacte mesurable però imperceptible en el rendiment de l'emmagatzematge.
Reaccions:hobowankenobi i Boyd01

genial11

set 3, 2006
  • 2 de desembre de 2020
mj_ ​​va dir: Això es deu al fet que la CPU del vostre 2013 és tan antiga que no té la lògica de desxifrat de maquinari (AES-NI) necessària per a un desxifrat i un xifratge ràpids i eficaços sobre la marxa, que, per tant, s'han de realitzar mitjançant l'execució ALU x86 normal. unitats. Pel que entenc, les implementacions més antigues d'AES-NI no tenen suport per a un algorisme específic que Apple utilitza per a l'encriptació de FileVault2, però no em cites sobre això.

Les implementacions més recents d'AES-NI ja no haurien de tenir aquest problema.

Per tant, seria un dolor activar filevault al meu mbp 15' a finals de 2013?

Encara no entenc, pràcticament què pot oferir filevault a un usuari.

Acostumo a tenir totes les meves dades precioses/privades, en imatges dmg xifrades.
Els obro quan necessito alguna cosa d'allà, alguns d'ells rars, alguns d'ells cada dia.
No dic que sigui la millor eina de xifratge possiblement, però millor que res.

Però tot i així, no puc mesurar els avantatges i els inconvenients, en macs antics o nous.

mj_

18 de maig de 2017
Austin, TX
  • 2 de desembre de 2020
El major avantatge de FileVault en el vostre cas concret seria que no hauríeu de fer un embolic amb imatges de disc xifrades. Tota la vostra unitat s'encriptaria, inclòs l'historial del navegador, la memòria cau local, les miniatures, etc. Tot. Seria molt més segur i, el més important, molt més indolor i més suau que haver de tractar amb imatges de disc xifrades.
Reaccions:hobowankenobi i cool11

genial11

set 3, 2006
  • 3 de desembre de 2020
D'una manera pràctica, com funciona Filevault?
Vull dir, no gaire d'una manera tècnica, sinó en la base diària de la interacció d'un usuari.
A més de la comprovació al panell de 'seguretat', què més he de fer?
I pràcticament, què guanyo? Si em roben mbp, o de sobte s'ha d'enviar a un servei de reparació, les meves dades estan segures i xifrades? Més que tractar amb dmg xifrat?
O és quelcom més aviat equivalent en termes de seguretat real de les dades? H

hobowankenobi

27 d'agost de 2015
a la línia terrestre mr. ferrer.
  • 3 de desembre de 2020
cool11 va dir: D'una manera pràctica, com funciona Filevault?
Vull dir, no gaire d'una manera tècnica, sinó en la base diària de la interacció d'un usuari.
A més de la comprovació al panell de 'seguretat', què més he de fer?
I pràcticament, què guanyo? Si em roben mbp, o de sobte s'ha d'enviar a un servei de reparació, les meves dades estan segures i xifrades? Més que tractar amb dmg xifrat?
O és quelcom més aviat equivalent en termes de seguretat real de les dades?
Sí. Com que la unitat està xifrada, no hi ha dades disponibles fins que no s'introdueixi el PW. Per tant... si es roba una màquina, l'única manera fàcil d'accedir-hi era si estigués connectada i desperta. Suposant que no es desactiva la sessió automàtica en repòs (i tancament de la tapa), un escenari molt poc probable. Fins i tot si d'alguna manera es pogués robar una màquina mentre està connectat i despert, haurien de tenir molta cura de no deixar que la màquina s'adormi, i no podrien accedir o canviar fàcilment el PW.

Com s'ha dit, com sempre està encès, res per a l'usuari. Totes les dades i la informació són segures, el 100% del temps.

L'únic inconvenient que vaig poder veure és que si es piratejava d'alguna manera una màquina mentre l'usuari estava connectat, les dades es podrien veure o copiar, suposant que el pirata informàtic tingui accés complet al Mac obert i iniciat. Les probabilitats d'això, en comparació amb ser robats, són molt, molt lleus, tenint en compte que hi ha hagut gairebé zero pirates de Mac que permeten l'accés remot d'administrador. I en termes generals, la seguretat millora cada any, a mesura que maduren les funcions del sistema operatiu i de seguretat. Només en les últimes 2-3 actualitzacions del sistema operatiu hem vist augmentar substancialment la seguretat del Mac, de manera que les probabilitats que un atacant remot prengui el control continuen baixant, mentre que el robatori físic és tan arriscat com mai.

I sí, si s'envia una màquina per a la reparació i s'ofereix el PW d'administració/desxifrat, les vostres dades estan disponibles per als espiadores. Una manera senzilla de fer-ho més difícil és simplement crear un segon compte d'administrador, amb un PW diferent, de manera que cap tècnic pugui iniciar sessió fàcilment al vostre compte principal. Això denegaria qualsevol indagació, i només es podria accedir a les vostres dades amb una feina bastant seriosa per canviar els permisos. Més del que faria un tafaner... només ho intentaria un pirateig/robatori seriós. Última edició: 3 de desembre de 2020
Reaccions:genial11

genial11

set 3, 2006
  • 4 de desembre de 2020
La contrasenya de Filevault, és la mateixa que la contrasenya d'inici de sessió?

Apple requereix que es doni aquesta contrasenya quan els usuaris enviïn les seves màquines als centres oficials de reparació d'Apple? H

hobowankenobi

27 d'agost de 2015
a la línia terrestre mr. ferrer.
  • 4 de desembre de 2020
cool11 va dir: La contrasenya de Filevault, és la mateixa que la contrasenya d'inici de sessió?

Apple requereix que es doni aquesta contrasenya quan els usuaris enviïn les seves màquines als centres oficials de reparació d'Apple?
Sí, el mateix PW. No hi ha res més a fer ni a recordar.

Només els usuaris activats poden desxifrar la unitat i iniciar sessió . Així que sí, si un tècnic necessita iniciar sessió, hauríeu de donar un PW. Podria ser un compte diferent, si estigués habilitat.
Reaccions:genial11

jaclu

12 de gener de 2021
  • 12 de gener de 2021
Apple_Robert va dir: Amb les màquines més noves, no es pot dir que FV està activat. És així de sense fissures. Recomano molt activar-lo.
No estic del tot segur del que vols dir a la primera frase. En el sentit que no noteu cap pèrdua de rendiment, estic d'acord. Tanmateix, podeu saber si FV està activat, només cal que feu a

discutir la llista d'apfs

I per a cada volum es mostra l'estat de FileVault

Apple_Robert

set 21, 2012
Enmig de diversos llibres.
  • 12 de gener de 2021
jaclu va dir: No estic del tot segur del que vols dir a la primera frase. En el sentit que no noteu cap pèrdua de rendiment, estic d'acord. Tanmateix, podeu saber si FV està activat, només cal que feu a

discutir la llista d'apfs

I per a cada volum es mostra l'estat de FileVault
Em referia a la degradació del rendiment, com a no poder dir...
Reaccions:jaclu
  • 1
  • 2
  • 3
  • 4
Pròxim

Ves a la pàgina

VésPròxim Darrer
Fòrums Altres Apple News Ressenyes Política De Privacitat
Safari a iOS 15 i macOS Monterey actualitza automàticament les connexions web a HTTPS en llocs compatibles per millorar la seguretat
Apple ja no accepta ressenyes de l'App Store per als codis promocionals bescanviats
Entrades Populars

Entrades Populars

Apple News
Apple anuncia un nou programa de residència en IA i aprenentatge automàtic
Apple News
Apple donarà als investigadors de seguretat iPhones 'especials' per a proves d'errors, el programa MacOS Bug Bounty arriba
Apple News
La FCC obre l'espectre de 3,5 GHz per a un ús comercial complet, els iPhones més nous d'Apple ja ofereixen suport
Apple News
Pràcticament amb el reemplaçament del comandament a distància d'Apple TV de Salt
Fòrums
Asphalt 9 a MacOS 10.15 té suport per a controladors de joc?
Apple News
Després de burlar-se d'Apple, Samsung pot treure l'adaptador d'alimentació de la caixa Galaxy S21