Forum

FileVault - Sì o No

SRQrws

Manifesto originale
4 agosto 2020
  • 12 agosto 2020
Sono curioso di sapere quante persone usano FileVault e se è davvero necessario su Mac con SSD, chip T2 e accesso automatico disabilitati. Immagino che la mia domanda sia, se sei impostato per richiedere sempre una password per l'accesso e non disponi di un disco fisso che potrebbe essere rimosso in caso di furto e accesso, FileVault è davvero necessario? Crittografo i miei backup di Time Machine su unità esterne e capisco chiaramente il motivo per farlo. Ma con il chip T2, se qualcuno ha rubato il Mac e rimosso l'SSD, potrebbe ottenere dati da esso? Questa potrebbe essere una domanda banale per gli esperti qui, ma apprezzo i pensieri di chiunque. h

hobowankenobi

27 agosto 2015


sulla linea fissa il sig. fabbro.
  • 12 agosto 2020
Una domanda giusta. Penso che la risposta varierà ampiamente in base a molte variabili, tra cui la configurazione generale della sicurezza, il rischio di utilizzo/viaggio/furto e cosa c'è sulla macchina (quanto sensibile).

Ai vecchi tempi, come giustamente fai notare, era abbastanza banale accedere a un'unità tramite TDM o rimuovere l'unità per accedere ai dati.
OTOH... con dischi rotanti, prestazioni elevate e tempo di crittografia iniziale era una buona ragione per NON crittografarlo.

Tutto ciò è sostanzialmente sparito ora (almeno sui Mac recenti), quindi... le vecchie abitudini (sia a favore che contro) devono essere ritirate.

L'unico motivo che mi fa sospendere l'uso di filevault è su macchine multiutente, come un laboratorio scolastico o una stazione di lavoro condivisa.

Quello... e la paura che alcuni utenti semplicemente dimentichino il loro PW, e questo diventa un dolore per tutti, in un modo molto più grande delle semplici credenziali di accesso dimenticate. T

TrevorR90

1 ottobre 2009
  • 14 agosto 2020
Non credo che averlo addosso danneggerà in alcun modo le prestazioni. È un altro livello di sicurezza e, come ho detto, non fa male indossarlo. h

hobowankenobi

27 agosto 2015
sulla linea fissa il sig. fabbro.
  • 14 agosto 2020
Non è un successo in termini di prestazioni ora, sia a causa di SSD che di APFS. Esso era doloroso....molti anni fa. Alcuni potrebbero avere ancora l'amaro in bocca dei vecchi tempi.
Reazioni:thetillyt T

thetillyt

8 aprile 2020
  • 14 agosto 2020
hobowankenobi ha detto: Non è un successo in termini di prestazioni ora, sia a causa di SSD che di APFS. Esso era doloroso....molti anni fa. Alcuni potrebbero avere ancora l'amaro in bocca dei vecchi tempi.
Ricordo che quando lo accendevo le prestazioni peggioravano abbastanza...
Reazioni:hobowankenobi

ragazzo01

Moderatore
Membro dello staff
21 febbraio 2012
New Jersey Pine Barrens
  • 14 agosto 2020
Non ho una GPU esterna, ma nel forum Mini si è discusso del fatto che con filevault abilitato, la richiesta della password verrà visualizzata solo su un monitor collegato direttamente. Quindi, se i tuoi monitor sono collegati all'eGPU, non vedrai la finestra di dialogo della password all'avvio.
Reazioni:Yebubbleman

Apple_Robert

21 settembre 2012
In mezzo a diversi libri.
  • 14 agosto 2020
Con le macchine più recenti, non puoi dire che FV è attivo. È così senza soluzione di continuità. Consiglio vivamente di accenderlo.

Sono d'accordo con i post precedenti che parlano dei vecchi tempi lenti. Il ritardo era notevole e ci sarebbero voluti giorni per crittografare un disco di grandi dimensioni. Sono contento che quei giorni siano finiti.
Reazioni:fotopooba

mj_

18 maggio 2017
Austin, TX
  • 15 agosto 2020
SRQrws ha detto: Ma con il chip T2, se qualcuno ha rubato il Mac e rimosso l'SSD, potrebbe ottenere dati da esso?
Certo, non sarebbe più possibile. Tuttavia, ci sono ancora diversi modi per accedere ai tuoi file con FileVault2 disabilitato. Ad esempio, puoi avviare la modalità disco di destinazione e avere pieno accesso all'unità. Se il tuo Mac ha abilitato l'avvio da fonti esterne, puoi anche eseguire l'avvio da un'unità USB e avere pieno accesso all'unità. L'avvio da fonti esterne non è abilitato? Nessun problema, basta avviare il ripristino ed eseguire una copia completa utilizzando l'utilità del disco o, ancora meglio, utilizzare il Terminale per reimpostare la password dell'utente, quindi avviare semplicemente il Mac normalmente e avere pieno accesso a tutto sull'unità.

Probabilmente ci sono altri modi a cui non ho pensato in questo momento.
Reazioni:Leon1das

SRQrws

Manifesto originale
4 agosto 2020
  • 15 agosto 2020
mj_ ​​ha detto: Certo, non sarebbe più possibile. Tuttavia, ci sono ancora diversi modi per accedere ai tuoi file con FileVault2 disabilitato. Ad esempio, puoi avviare la modalità disco di destinazione e avere pieno accesso all'unità. Se il tuo Mac ha abilitato l'avvio da fonti esterne, puoi anche eseguire l'avvio da un'unità USB e avere pieno accesso all'unità. L'avvio da fonti esterne non è abilitato? Nessun problema, basta avviare il ripristino ed eseguire una copia completa utilizzando l'utilità del disco o, ancora meglio, utilizzare il Terminale per reimpostare la password dell'utente, quindi avviare semplicemente il Mac normalmente e avere pieno accesso a tutto sull'unità.

Probabilmente ci sono altri modi a cui non ho pensato in questo momento.
Grazie per le informazioni dettagliate. Non avevo idea che esistessero diversi modi per aggirare la password di accesso per accedere ai dati. Ho appena abilitato FileVault su tutti i miei Mac.

sgtaylor5

Collaboratore
6 agosto 2017
Cheney, WA, USA
  • 21 agosto 2020
Punto di interesse: so che questo fatto non è rilevante per i moderni MacBook Pro con il chip T2, ma di recente ho scoperto che FV ha reso il mio MBP di fine 2013 (i5/8/256) più caldo di 2 o 3 gradi (coerentemente su High Sierra e Mojave, utilizzando Mac Fan Control impostato a 3000 rpm e CPU PECI come sorgente temporanea)

mj_

18 maggio 2017
Austin, TX
  • 21 agosto 2020
Questo perché la CPU del tuo 2013 è così vecchia che manca della logica di decrittografia hardware (AES-NI) necessaria per una crittografia e decrittografia al volo rapida ed efficiente, che deve quindi essere eseguita utilizzando le normali unità di esecuzione ALU x86. Per quanto ho capito, le implementazioni precedenti di AES-NI mancano del supporto per un algoritmo specifico che Apple utilizza per la crittografia FileVault2, ma non citarmi su questo.

Le implementazioni più recenti di AES-NI non dovrebbero più avere questo problema.
Reazioni:cool11, sgtaylor5, Weaselboy e 1 altra persona

sgtaylor5

Collaboratore
6 agosto 2017
Cheney, WA, USA
  • 21 agosto 2020
Grazie per questa spiegazione; gli altri che visitano questo thread vorranno vederlo.

Solo nel settore informatico un dispositivo del 2013 può essere considerato vecchio. Mi ci sono voluti molti decenni prima che la situazione fosse giusta nella mia vita e potevo comprare il mio attuale Mac a metà prezzo quando aveva cinque anni. Lo adoro; è stato un cavallo di battaglia per me.
Reazioni:ragazzo01 A

avz

7 ottobre 2018
  • 21 agosto 2020
sgtaylor5 ha detto: Grazie per questa spiegazione; gli altri che visitano questo thread vorranno vederlo.

Solo nel settore informatico un dispositivo del 2013 può essere considerato vecchio. Mi ci sono voluti molti decenni prima che la situazione fosse giusta nella mia vita e potevo comprare il mio attuale Mac a metà prezzo quando aveva cinque anni. Lo adoro; è stato un cavallo di battaglia per me.

Ho abilitato FV sul mio MacBook di fine 2008 su entrambe le unità (Mavericks su HFS+ HDD originale da 5400 giri/min e Mojave su APFS SSD). Non noto alcun calo di prestazioni o sbalzi di temperatura. Potresti voler sostituire un composto termico e pulire la polvere all'interno della macchina/sostituire una batteria.

sgtaylor5

Collaboratore
6 agosto 2017
Cheney, WA, USA
  • 21 agosto 2020
Grazie; Ho già dato i primi due suggerimenti e la mia batteria va bene a 368 cicli finora.

BuffyzDead

30 dicembre 2008
  • 21 agosto 2020
SRQrws ha detto: Sono curioso di sapere quante persone usano FileVault e se è davvero necessario su Mac con SSD, chip T2 e accesso automatico disabilitati. Immagino che la mia domanda sia, se sei impostato per richiedere sempre una password per l'accesso e non disponi di un disco fisso che potrebbe essere rimosso in caso di furto e accesso, FileVault è davvero necessario? Crittografo i miei backup di Time Machine su unità esterne e capisco chiaramente il motivo per farlo. Ma con il chip T2, se qualcuno ha rubato il Mac e rimosso l'SSD, potrebbe ottenere dati da esso? Questa potrebbe essere una domanda banale per gli esperti qui, ma apprezzo i pensieri di chiunque.

Questo articolo tempestivo farà luce affinché tutti possano decidere.

Come funzionano insieme FileVault e il chip di sicurezza T2 nei nuovi Mac

I Mac con un chip T2 crittografano sempre le loro unità. Perché FileVault è necessario?
Reazioni:ghanwani e svanstrom

Yebubbleman

20 maggio 2010
Los Angeles, CA
  • 21 agosto 2020
SRQrws ha detto: Sono curioso di sapere quante persone usano FileVault e se è davvero necessario su Mac con SSD, chip T2 e accesso automatico disabilitati. Immagino che la mia domanda sia, se sei impostato per richiedere sempre una password per l'accesso e non disponi di un disco fisso che potrebbe essere rimosso in caso di furto e accesso, FileVault è davvero necessario? Crittografo i miei backup di Time Machine su unità esterne e capisco chiaramente il motivo per farlo. Ma con il chip T2, se qualcuno ha rubato il Mac e rimosso l'SSD, potrebbe ottenere dati da esso? Questa potrebbe essere una domanda banale per gli esperti qui, ma apprezzo i pensieri di chiunque.

FileVault 2 è 'necessario' è soggettivo. Se lavori in un'azienda, è probabilmente necessario per le stesse identiche ragioni di BitLocker o di un altro pacchetto software di crittografia dell'intero disco di Windows. Se sei solo tu e non disponi di informazioni sensibili sul tuo Mac, allora è una questione di preferenze personali.

Per rispondere alla tua domanda 'se qualcuno fosse in grado di rimuovere l'SSD su un Mac T2, sarebbe in grado di accedere ai dati?', la risposta breve è no.

Gli SSD sono integrati (leggi: saldati) sulla scheda logica principale su MacBook Pro, MacBook Air e Mac mini introdotti dal 2018 in poi, quindi non è nemmeno fisicamente possibile. Sono tecnicamente completamente rimovibili su Mac Pro e iMac Pro e parzialmente rimovibili su iMac da 4 TB e 8 TB 2020 27' (in quella parte dell'unità è sulla scheda logica e parte di essa è in un modulo di espansione da 2-4 TB) . Il T2 è il controller SSD su tutti i Mac T2 e il T2 è accoppiato con lo storage in fabbrica. Se rimuovi i moduli di archiviazione dalla scheda logica del Mac T2 con cui era inizialmente associato, i dati vengono effettivamente persi.

Come affermato sopra, puoi comunque utilizzare la modalità disco di destinazione su un Mac per rimuovere i file senza dover inserire alcun tipo di password. Sì, i tuoi dati sono sempre crittografati su un Mac T2, ma non disponi di alcun meccanismo di protezione per impedire alla modalità disco di destinazione di rendere il tuo Mac T2 ancora accessibile a un altro Mac.

L'attivazione di FileVault 2 su un Mac T2 non crittografa l'unità. L'unità è già crittografata per impostazione predefinita (e non è presente alcun interruttore di spegnimento). Tutto ciò che fa è associare (e applicare) la protezione di dover inserire una chiave o un nome utente e una password quando si accede all'unità tramite qualcosa come la modalità disco di destinazione. È possibile abilitare funzionalmente la stessa protezione sull'unità impostando una password del firmware. In un ambiente aziendale, FileVault 2 è molto più preferito in quanto è possibile depositare OGNI chiave FileVault 2 in un database centralizzato utilizzando una chiave FileVault 2 istituzionale. Inoltre, elimina la necessità di modificare la PASSWORD FIRMWARE di OGNI Mac quando un dipendente IT di alto livello lascia l'azienda.

Non sono il più grande su FileVault 2, personalmente. Penso che sia goffo e che ci siano stranezze intrinseche che possono rendere la diagnosi di un Mac con problemi ancora più difficile da affrontare quando abilitati. Ma, certamente, su un Mac T2 è fatto per essere così facile e veloce che non c'è bisogno di pensarci davvero. L'accensione e lo spegnimento sono istantanei e alla fine non hanno le conseguenze che potresti avere su un Mac non T2.

TrevorR90 ha dichiarato: Non credo che averlo addosso danneggerà in alcun modo le prestazioni. È un altro livello di sicurezza e, come ho detto, non fa male indossarlo.

Su un Mac T2, non ha alcun impatto sulle prestazioni. L'attivazione di FileVault 2 su un Mac T2 associa semplicemente FileVault alla crittografia hardware esistente.

Considerando che, su un Mac pre-T2, l'abilitazione di FileVault 2 richiede effettivamente la crittografia dell'unità e comporterà sicuramente prestazioni dell'unità più lente. Tuttavia, la differenza di prestazioni non sarà evidente su un SSD sicuro per flussi di lavoro ad alta intensità di disco. Gli utenti occasionali non dovrebbero notare alcuna differenza nelle prestazioni.
Reazioni:0279317 e hobowankenobi

mj_

18 maggio 2017
Austin, TX
  • 22 agosto 2020
Yebubbleman ha affermato: Considerando che, su un Mac pre-T2, l'abilitazione di FileVault 2 richiede effettivamente la crittografia dell'unità e comporterà sicuramente prestazioni dell'unità più lente. Tuttavia, la differenza di prestazioni non sarà evidente su un SSD sicuro per flussi di lavoro ad alta intensità di disco. Gli utenti occasionali non dovrebbero notare alcuna differenza nelle prestazioni.
Ottimo punto, ho dimenticato di dirlo. Ho eseguito i benchmark con il mio Samsung 970 EVO esterno all'interno di una custodia USB 3.2 Gen 1 su un iMac 2017, ovvero uno senza chip T2. Senza FileVault2 ottengo oltre 950 MB/s sia in lettura che in scrittura. Con FileVault2 abilitato ottengo circa 650 MB/s in scrittura e circa 750 MB/s in letture. C'è quindi un impatto misurabile ma impercettibile sulle prestazioni di archiviazione.
Reazioni:hobowankenobi e Boyd01

cool11

3 settembre 2006
  • 2 dicembre 2020
mj_ ​​ha detto: questo perché la CPU del tuo 2013 è così vecchia che manca della logica di decrittografia hardware (AES-NI) necessaria per la decrittografia e la decrittografia al volo rapida ed efficiente, che deve quindi essere eseguita utilizzando la normale esecuzione x86 ALU unità. Per quanto ho capito, le implementazioni precedenti di AES-NI mancano del supporto per un algoritmo specifico che Apple utilizza per la crittografia FileVault2, ma non citarmi su questo.

Le implementazioni più recenti di AES-NI non dovrebbero più avere questo problema.

Quindi, sarebbe una seccatura attivare filevault nel mio mbp 15' alla fine del 2013?

Continuo a non capire, praticamente cosa può offrire filevault a un utente.

Di solito ho tutti i miei dati preziosi/privati, in immagini dmg crittografate.
Li apro quando ho bisogno di qualcosa da lì, alcuni rari, altri tutti i giorni.
Non dico che sia il miglior strumento di crittografia possibile, ma meglio di niente.

Ma ancora, non riesco a misurare i vantaggi e gli svantaggi, nei Mac più vecchi o più recenti.

mj_

18 maggio 2017
Austin, TX
  • 2 dicembre 2020
Il più grande vantaggio di FileVault nel tuo caso specifico sarebbe che non dovresti scherzare con le immagini del disco crittografate. L'intera unità verrebbe crittografata, inclusa la cronologia del browser, la cache locale, le miniature, ecc. Tutto. Sarebbe molto più sicuro e, soprattutto, molto più indolore e agevole rispetto al dover gestire immagini disco crittografate.
Reazioni:hobowankenobi e cool11

cool11

3 settembre 2006
  • 3 dicembre 2020
In pratica, come funziona Filevault?
Voglio dire, non molto in modo tecnico, ma nella base quotidiana di un'interazione con l'utente.
Oltre al controllo nel pannello 'sicurezza', cos'altro dovrei fare?
E in pratica cosa ci guadagno? Se il mio mbp viene rubato o deve essere inviato improvvisamente a un servizio di riparazione, i miei dati sono protetti e crittografati? Più che avere a che fare con dmg crittografati?
Oppure è qualcosa di piuttosto equivalente in termini di reale sicurezza dei dati? h

hobowankenobi

27 agosto 2015
sulla linea fissa il sig. fabbro.
  • 3 dicembre 2020
cool11 ha detto: In pratica, come funziona Filevault?
Voglio dire, non molto in modo tecnico, ma nella base quotidiana di un'interazione con l'utente.
Oltre al controllo nel pannello 'sicurezza', cos'altro dovrei fare?
E in pratica cosa ci guadagno? Se il mio mbp viene rubato o deve essere inviato improvvisamente a un servizio di riparazione, i miei dati sono protetti e crittografati? Più che avere a che fare con dmg crittografati?
Oppure è qualcosa di piuttosto equivalente in termini di reale sicurezza dei dati?
Sì. Poiché l'unità è crittografata, non sono disponibili dati finché ea meno che non venga immessa la PW. Quindi... se una macchina viene rubata, l'unico modo semplice per accedervi era se fosse stata loggata e attiva. Supponendo che uno non disabiliti la disconnessione automatica durante la sospensione (e la chiusura del coperchio), uno scenario molto improbabile. Anche se si potesse in qualche modo rubare una macchina mentre si è connessi e svegli, si dovrebbe stare molto attenti a non far dormire la macchina, e non potrebbero facilmente accedere o modificare il PW.

Come accennato, poiché è sempre attivo, nulla da fare per l'utente. Tutti i dati e le informazioni sono al sicuro, il 100% delle volte.

L'unico aspetto negativo che ho potuto vedere è che se una macchina è stata in qualche modo violata mentre l'utente era connesso, i dati potrebbero essere visualizzati o copiati, supponendo che l'hacker abbia pieno accesso al Mac aperto e connesso. Le probabilità di questo, rispetto al furto, sono molto, molto scarse, considerando che ci sono stati quasi zero hack di Mac che consentono l'accesso remoto agli amministratori. E in generale, la sicurezza migliora ogni anno, man mano che il sistema operativo e le funzionalità di sicurezza maturano. Solo negli ultimi 2-3 aggiornamenti del sistema operativo abbiamo assistito a sostanziali aumenti della sicurezza del Mac, quindi le probabilità che un attaccante remoto prenda il controllo continuano a diminuire, mentre il furto fisico è più rischioso che mai.

E sì, se una macchina viene inviata per la riparazione e viene fornita la PW di amministratore/decrittografia, i tuoi dati sono disponibili per i ficcanaso. Un modo semplice per renderlo più difficile è semplicemente creare un secondo account amministratore, con un PW diverso, in modo che nessun tecnico possa accedere facilmente al tuo account principale. Ciò negherebbe qualsiasi ficcanaso e si potrebbe accedere ai tuoi dati solo con un lavoro abbastanza serio per modificare le autorizzazioni. Più di quanto farebbe un ficcanaso... solo un serio hack/furto potrebbe tentare. Ultima modifica: 3 dicembre 2020
Reazioni:cool11

cool11

3 settembre 2006
  • 4 dicembre 2020
La password di Filevault è la stessa della password di accesso?

Apple richiede che venga fornita tale password quando gli utenti inviano le loro macchine ai centri di riparazione Apple ufficiali? h

hobowankenobi

27 agosto 2015
sulla linea fissa il sig. fabbro.
  • 4 dicembre 2020
cool11 ha detto: Password Filevault, è la stessa con la password di accesso?

Apple richiede che venga fornita tale password quando gli utenti inviano le loro macchine ai centri di riparazione Apple ufficiali?
Sì, stesso PW. Nient'altro da fare o da ricordare.

Solo gli utenti abilitati possono decrittografare l'unità e accedere . Quindi sì, se un tecnico ha bisogno di accedere, dovresti dare un PW. Potrebbe essere un account diverso, se abilitato.
Reazioni:cool11

jaclu

12 gennaio 2021
  • 12 gennaio 2021
Apple_Robert ha detto: Con le macchine più recenti, non puoi dire che FV è attivo. È così senza soluzione di continuità. Consiglio vivamente di accenderlo.
Non sono del tutto sicuro di cosa intendi nella prima frase. Nel senso che non si nota alcuna perdita di prestazioni sono d'accordo. Tuttavia, puoi sapere se FV è attivo, basta fare un

diskutil apfs elenco

E per ogni volume è elencato lo stato di FileVault

Apple_Robert

21 settembre 2012
In mezzo a diversi libri.
  • 12 gennaio 2021
jaclu ha detto: Non sono del tutto sicuro di cosa intendi nella prima frase. Nel senso che non si nota alcuna perdita di prestazioni sono d'accordo. Tuttavia, puoi sapere se FV è attivo, basta fare un

diskutil apfs elenco

E per ogni volume è elencato lo stato di FileVault
Mi riferivo al degrado delle prestazioni, al non poterlo dire....
Reazioni:jaclu
  • 1
  • 2
  • 3
  • 4
Prossimo

Vai alla pagina

andareProssimo Scorso
Forum Notizie di Apple come Altro Politica Sulla Riservatezza
Microsoft ritiro delle versioni precedenti di Skype per Mac
'The Lullaby of Life' arriva su Apple Arcade
Messaggi Popolari

Messaggi Popolari

Novità Apple
Il programma di riparazione del rivestimento antiriflesso di Apple è ancora in vigore per alcuni MacBook con la nuova politica di posta in arrivo
Forum
La fotocamera anteriore di iPhone 11 Pro su iPhone 11 Pro non mette a fuoco/sfoca
Novità Apple
Guida all'acquisto di Powerbeats Pro e AirPods 2
Novità Apple
'Rise of the Tomb Raider: 20 Year Celebration' in arrivo su Mac questa primavera
Forum
macOS 11 Big Sur su thread Mac non supportati
Novità Apple
Offerte: la vendita di Anker Gold Box ha uno sconto fino al 36% su caricabatterie da parete, cavi Lightning, batterie portatili e altro ancora