Fóruns

FileVault - Sim ou Não

SRQrws

Pôster original
4 de agosto de 2020
  • 12 de agosto de 2020
Estou curioso para saber quantas pessoas usam o FileVault e se é realmente necessário em Macs com SSDs, chips T2 e login automático desabilitados. Acho que minha pergunta é: se você está configurado para sempre exigir uma senha para login e não tem um disco rígido de prato que poderia ser removido se roubado e acessado, o FileVault é realmente necessário? Eu criptografo meus backups do Time Machine em unidades externas e entendo claramente o motivo para fazer isso. Mas com o chip T2, se alguém roubasse o Mac e removesse o SSD, eles poderiam obter dados dele? Esta pode ser uma pergunta trivial para os especialistas aqui, mas agradeço a opinião de todos. H

Hobowankenobi

27 de agosto de 2015


na linha terrestre mr. ferreiro.
  • 12 de agosto de 2020
Uma pergunta justa. Acho que a resposta vai variar amplamente com base em muitas variáveis, incluindo configuração geral de segurança, risco de uso / viagem / roubo e o que está na máquina (quão sensível).

Nos velhos tempos, como você aponta, era bastante trivial acessar uma unidade via TDM ou remover a unidade para acessar dados.
OTOH ... com discos girando, acertos de desempenho, bem como o tempo de criptografia inicial foi um bom motivo para NÃO criptografá-lo.

Tudo isso acabou agora (pelo menos nos Macs recentes), então ... os velhos hábitos (tanto a favor quanto contra) precisam ser aposentados.

O único motivo que me dá uma pausa para usar o filevault é em máquinas com vários usuários, como um laboratório escolar ou uma estação de trabalho compartilhada.

Isso ... e o medo de que alguns usuários simplesmente esqueçam seu PW, e isso se torna uma dor para todos, de uma forma muito maior do que apenas esquecer as credenciais de login. T

TrevorR90

1 ° de outubro de 2009
  • 14 de agosto de 2020
Não acho que usá-lo prejudicará o desempenho de forma alguma. É outra camada de segurança e, como eu disse, não faz mal tê-la ativada. H

Hobowankenobi

27 de agosto de 2015
na linha terrestre mr. ferreiro.
  • 14 de agosto de 2020
Não é um problema de desempenho agora, tanto por causa do SSD quanto do APFS. Isto era doloroso .... muitos anos atrás. Alguns podem ainda ter um gosto ruim na boca dos velhos tempos.
Reações:thetillyt T

thetillyt

8 de abril de 2020
  • 14 de agosto de 2020
hobowankenobi disse: Não é um problema de desempenho agora, tanto por causa do SSD quanto do APFS. Isto era doloroso .... muitos anos atrás. Alguns podem ainda ter um gosto ruim na boca dos velhos tempos.
Lembro-me de quando ligá-lo prejudicou muito o desempenho ...
Reações:Hobowankenobi

Boyd01

Moderador
Membro da equipe
21 de fevereiro de 2012
Pine Barrens de Nova Jersey
  • 14 de agosto de 2020
Não tenho uma GPU externa, mas houve uma discussão no fórum Mini que, com o filevault habilitado, o prompt de senha só aparecerá em um monitor conectado diretamente. Portanto, se o (s) seu (s) monitor (es) estiverem conectados ao eGPU, você não verá a caixa de diálogo de senha na inicialização.
Reações:Yebubbleman

Apple_Robert

21 de setembro de 2012
No meio de vários livros.
  • 14 de agosto de 2020
Com as máquinas mais recentes, você não pode dizer que o FV está ligado. É tão perfeito. Eu recomendo ativá-lo.

Eu concordo com os posts anteriores falando sobre os velhos tempos lentos. O atraso era perceptível e demoraria dias para criptografar uma unidade grande. Ainda bem que esses dias acabaram.
Reações:Photopooba

mj_

18 de maio de 2017
Austin, TX
  • 15 de agosto de 2020
SRQrws disse: Mas com o chip T2, se alguém roubasse o Mac e removesse o SSD, eles poderiam obter dados dele?
É certo que isso não seria mais possível. No entanto, ainda existem várias maneiras de acessar seus arquivos com o FileVault2 desativado. Por exemplo, você pode inicializar no modo de disco de destino e ter acesso total à unidade. Se o seu Mac tiver a inicialização de fontes externas habilitada, você também pode inicializar a partir de uma unidade USB e ter acesso total à unidade. A inicialização de fontes externas não está habilitada? Não é nada demais, apenas inicialize na recuperação e faça uma cópia completa usando o utilitário de disco ou, melhor ainda, use o Terminal para redefinir a senha do usuário e, em seguida, simplesmente inicialize o Mac normalmente e tenha acesso total a tudo na unidade.

Provavelmente, há mais maneiras nas quais não pensei agora.
Reações:Leon1das

SRQrws

Pôster original
4 de agosto de 2020
  • 15 de agosto de 2020
mj_ ​​disse: É certo que isso não seria mais possível. No entanto, ainda existem várias maneiras de acessar seus arquivos com o FileVault2 desativado. Por exemplo, você pode inicializar no modo de disco de destino e ter acesso total à unidade. Se o seu Mac tiver a inicialização de fontes externas habilitada, você também pode inicializar a partir de uma unidade USB e ter acesso total à unidade. A inicialização de fontes externas não está habilitada? Não é nada demais, apenas inicialize na recuperação e faça uma cópia completa usando o utilitário de disco ou, melhor ainda, use o Terminal para redefinir a senha do usuário e, em seguida, simplesmente inicialize o Mac normalmente e tenha acesso total a tudo na unidade.

Provavelmente, há mais maneiras nas quais não pensei agora.
Obrigado pela informação detalhada. Eu não tinha ideia de que havia várias maneiras de contornar a senha de login para acessar os dados. Acabei de habilitar o FileVault em todos os meus Macs.

sgtaylor5

Contribuinte
6 de agosto de 2017
Cheney, WA, EUA
  • 21 de agosto de 2020
Ponto de interesse: eu sei que este fato não é relevante para o MacBook Pro moderno com o chip T2, mas descobri recentemente que a FV fez meu MBP (i5 / 8/256) do final de 2013 rodar 2 ou 3 graus mais quente (consistentemente em High Sierra e Mojave, usando Macs Fan Control definido em 3000 rpm e CPU PECI como a fonte de temperatura)

mj_

18 de maio de 2017
Austin, TX
  • 21 de agosto de 2020
Isso porque a CPU em 2013 é tão antiga que não tem a lógica de descriptografia de hardware (AES-NI) necessária para uma descriptografia rápida e eficiente em tempo real, que deve, portanto, ser executada usando unidades de execução ALU x86 regulares. Até onde eu entendo, as implementações mais antigas de AES-NI não têm suporte para um algoritmo específico que a Apple usa para criptografar o FileVault2, mas não me mencione isso.

Implementações mais recentes do AES-NI não devem mais ter esse problema.
Reações:cool11, sgtaylor5, Weaselboy e 1 outra pessoa

sgtaylor5

Contribuinte
6 de agosto de 2017
Cheney, WA, EUA
  • 21 de agosto de 2020
Obrigado por essa explicação; outras pessoas que visitam este tópico vão querer vê-lo.

Apenas na indústria de informática um dispositivo de 2013 pode ser considerado antigo. Levei muitas décadas até que a situação estivesse certa na minha vida e eu pudesse comprar meu Mac atual pela metade do preço quando ele tinha cinco anos. Adoro; tem sido um burro de carga para mim.
Reações:Boyd01 PARA

avz

7 de outubro de 2018
  • 21 de agosto de 2020
sgtaylor5 disse: Obrigado por essa explicação; outras pessoas que visitam este tópico vão querer vê-lo.

Apenas na indústria de informática um dispositivo de 2013 pode ser considerado antigo. Levei muitas décadas até que a situação estivesse certa na minha vida e eu pudesse comprar meu Mac atual pela metade do preço quando ele tinha cinco anos. Adoro; tem sido um burro de carga para mim.

Tenho FV habilitado em meu MacBook do final de 2008 em ambas as unidades (Mavericks em HFS + HDD original de 5400 rpm e Mojave em SSD APFS). Não noto nenhum impacto no desempenho ou mudanças nas temperaturas. Você pode querer substituir um composto térmico e limpar a poeira dentro da máquina / substituir uma bateria.

sgtaylor5

Contribuinte
6 de agosto de 2017
Cheney, WA, EUA
  • 21 de agosto de 2020
Obrigado; Já fiz as duas primeiras sugestões e minha bateria está boa com 368 ciclos até agora.

BuffyzDead

30 de dezembro de 2008
  • 21 de agosto de 2020
SRQrws disse: Estou curioso para saber quantas pessoas usam o FileVault e se é realmente necessário em Macs com SSDs, chips T2 e login automático desabilitados. Acho que minha pergunta é: se você está configurado para sempre exigir uma senha para login e não tem um disco rígido de prato que poderia ser removido se roubado e acessado, o FileVault é realmente necessário? Eu criptografo meus backups do Time Machine em unidades externas e entendo claramente o motivo para fazer isso. Mas com o chip T2, se alguém roubasse o Mac e removesse o SSD, eles poderiam obter dados dele? Esta pode ser uma pergunta trivial para os especialistas aqui, mas agradeço a opinião de todos.

Este artigo oportuno lançará mais luz para que todos possam decidir.

Como o FileVault e o T2 Security Chip funcionam juntos em Macs mais recentes

Macs com chip T2 sempre criptografam suas unidades. Por que o FileVault é necessário?
Reações:ghanwani e svanstrom

Yebubbleman

20 de maio de 2010
Los Angeles, Califórnia
  • 21 de agosto de 2020
SRQrws disse: Estou curioso para saber quantas pessoas usam o FileVault e se é realmente necessário em Macs com SSDs, chips T2 e login automático desabilitados. Acho que minha pergunta é: se você está configurado para sempre exigir uma senha para login e não tem um disco rígido de prato que poderia ser removido se roubado e acessado, o FileVault é realmente necessário? Eu criptografo meus backups do Time Machine em unidades externas e entendo claramente o motivo para fazer isso. Mas com o chip T2, se alguém roubasse o Mac e removesse o SSD, eles poderiam obter dados dele? Esta pode ser uma pergunta trivial para os especialistas aqui, mas agradeço a opinião de todos.

O FileVault 2 sendo 'necessário' é subjetivo. Se você está em um negócio, provavelmente é necessário pelos mesmos motivos que o BitLocker ou algum outro pacote de software de criptografia de disco completo do Windows. Se for só você e você não tiver nenhuma informação sensível sobre o seu Mac, então é uma questão de preferência pessoal.

Para responder à sua pergunta 'se alguém conseguisse remover o SSD em um Mac T2, seria capaz de obter os dados?', A resposta curta é não.

Os SSDs são integrados (leia-se: soldados) na placa lógica principal dos MacBook Pros, MacBook Airs e Mac minis introduzidos a partir de 2018, então isso nem mesmo é fisicamente possível. Eles são tecnicamente totalmente removíveis no Mac Pro e iMac Pro, e parcialmente removíveis nos iMacs de 4 TB e 8 TB 2020 27 '(parte da unidade está na placa lógica e parte dela está em um módulo de expansão de 2-4 TB) . O T2 é o controlador SSD em todos os T2 Macs e o T2 é emparelhado com o armazenamento na fábrica. Se você remover os módulos de armazenamento da placa lógica do T2 Mac com o qual foi inicialmente emparelhado, os dados serão efetivamente perdidos.

Como foi dito acima, você ainda pode usar o modo de disco de destino em um Mac para obter arquivos sem ter que inserir qualquer tipo de senha. Sim, seus dados são sempre criptografados em um Mac T2, mas você não tem nenhum mecanismo de proteção para impedir que o modo de disco de destino torne seu Mac T2 ainda acessível a outro Mac.

Ligar o FileVault 2 em um T2 Mac não criptografa sua unidade. A unidade já está criptografada por padrão (e não há interruptor para desligar). Tudo o que ele faz é associar (e aplicar) a proteção de ter que inserir uma chave ou um nome de usuário e senha ao acessar a unidade por meio de algo como o Modo de disco de destino. Você pode habilitar funcionalmente a mesma proteção para sua unidade definindo uma senha de firmware. Em um ambiente comercial, o FileVault 2 é muito mais preferido, pois você pode guardar TODAS as chaves do FileVault 2 em um banco de dados centralizado usando uma chave FileVault 2 institucional. Além disso, elimina a necessidade de alterar a SENHA DE FIRMWARE DE CADA Mac quando um funcionário de TI de alto nível deixa a empresa.

Não sou o maior no FileVault 2, pessoalmente. Acho que é desajeitado e há peculiaridades inerentes que podem tornar o diagnóstico de problemas em um Mac ainda mais difícil de lidar quando ativado. Mas, certamente, em um Mac T2, ele foi feito para ser tão rápido e fácil que você não precisa realmente pensar sobre isso. Ligar e desligar é instantâneo e, em última análise, não tem os tipos de ramificações que você pode ter em um Mac não T2.

TrevorR90 disse: Eu não acho que usá-lo prejudicará o desempenho de forma alguma. É outra camada de segurança e, como eu disse, não faz mal tê-la ativada.

Em um Mac T2, isso não afeta o desempenho de forma alguma. Ativar o FileVault 2 em um Mac T2 apenas associa o FileVault à criptografia de hardware existente.

Considerando que, em um Mac pré-T2, habilitar o FileVault 2 requer realmente criptografar a unidade e certamente acarretará um desempenho mais lento da unidade. No entanto, a diferença no desempenho não será perceptível em um SSD seguro para fluxos de trabalho com superdisco. Os usuários casuais não devem notar nenhuma diferença no desempenho.
Reações:0279317 e hobowankenobi

mj_

18 de maio de 2017
Austin, TX
  • 22 de agosto de 2020
Yebubbleman disse: Considerando que, em um Mac pré-T2, habilitar o FileVault 2 requer realmente criptografar a unidade e certamente acarretará um desempenho mais lento da unidade. No entanto, a diferença no desempenho não será perceptível em um SSD seguro para fluxos de trabalho com superdisco. Os usuários casuais não devem notar nenhuma diferença no desempenho.
Excelente ponto, esqueci de mencionar isso. Eu executei benchmarks no meu Samsung 970 EVO externo dentro de um gabinete USB 3.2 Gen 1 em um iMac 2017, também conhecido como um sem chip T2. Sem o FileVault2, obtenho mais de 950 MB / s em leitura e gravação. Com o FileVault2 ativado, obtenho cerca de 650 MB / s de gravações em torno de 750 MB / s de leituras. Portanto, há um impacto mensurável, porém imperceptível, no desempenho do armazenamento.
Reações:hobowankenobi e Boyd01

cool11

3 de setembro de 2006
  • 2 de dezembro de 2020
mj_ ​​disse: Isso é porque a CPU em 2013 é tão antiga que não tem a lógica de descriptografia de hardware (AES-NI) necessária para uma descriptografia rápida e eficiente em tempo real, que deve, portanto, ser realizada usando a execução regular de ALU x86 unidades. Até onde eu entendo, as implementações mais antigas de AES-NI não têm suporte para um algoritmo específico que a Apple usa para criptografar o FileVault2, mas não me mencione isso.

Implementações mais recentes do AES-NI não devem mais ter esse problema.

Então, seria uma dor ativar o filevault no meu mbp 15 'no final de 2013?

Ainda não entendo, praticamente, o que o filevault pode oferecer a um usuário.

Eu costumava ter todos os meus dados preciosos / privados, em imagens dmg criptografadas.
Eu os abro quando preciso de algo de lá, alguns deles raros, alguns deles todos os dias.
Não digo que seja a melhor ferramenta de criptografia possível, mas melhor do que nada.

Mesmo assim, não consigo medir as vantagens e desvantagens em macs mais antigos ou mais novos.

mj_

18 de maio de 2017
Austin, TX
  • 2 de dezembro de 2020
A maior vantagem do FileVault em seu caso específico seria que você não teria que mexer com imagens de disco criptografadas. Toda a sua unidade seria criptografada, incluindo o histórico do seu navegador, seu cache local, miniaturas, etc. Tudo. Seria muito mais seguro e, o mais importante, muito mais indolor e suave do que ter que lidar com imagens de disco criptografadas.
Reações:hobowankenobi e cool11

cool11

3 de setembro de 2006
  • 3 de dezembro de 2020
De forma prática, como funciona o Filevault?
Quer dizer, não muito da forma técnica, mas no dia a dia de uma interação do usuário.
Além da verificação no painel 'segurança', o que mais devo fazer?
E praticamente, o que ganho? Se meu mbp for roubado ou se precisar ser enviado repentinamente para um serviço de reparo, meus dados estão protegidos e criptografados? Mais do que lidar com dmg criptografado?
Ou é algo bastante equivalente em termos de segurança real de dados? H

Hobowankenobi

27 de agosto de 2015
na linha terrestre mr. ferreiro.
  • 3 de dezembro de 2020
cool11 disse: Na prática, como funciona o Filevault?
Quer dizer, não muito da forma técnica, mas no dia a dia de uma interação do usuário.
Além da verificação no painel 'segurança', o que mais devo fazer?
E praticamente, o que ganho? Se meu mbp for roubado ou se precisar ser enviado repentinamente para um serviço de reparo, meus dados estão protegidos e criptografados? Mais do que lidar com dmg criptografado?
Ou é algo bastante equivalente em termos de segurança real de dados?
sim. Como a unidade é criptografada, nenhum dado estará disponível até e a menos que o PW seja inserido. Então ... se uma máquina for roubada, a única maneira fácil de obter acesso é se ela estiver conectada e ativada. Supondo que não se desative o logout automático durante o hibernação (e fechamento da tampa), um cenário muito improvável. Mesmo se alguém pudesse de alguma forma roubar uma máquina enquanto estivesse conectado e acordado, eles teriam que ter muito cuidado para não deixar a máquina hibernar e não poderiam acessar ou alterar facilmente o PW.

Conforme mencionado, como está sempre ligado, nada para o usuário fazer. Todos os dados e informações estão seguros, 100% do tempo.

A única desvantagem que pude ver é que se uma máquina fosse hackeada de alguma forma enquanto o usuário estava logado, os dados poderiam ser vistos ou copiados, supondo que o hacker tenha acesso total ao Mac aberto, conectado. A probabilidade disso, comparado a ser roubado, é muito, muito pequena, considerando que houve quase zero hacks de Macs que permitem acesso de administrador remoto. E, de modo geral, a segurança melhora a cada ano, conforme o SO e os recursos de segurança amadurecem. Apenas nas últimas 2-3 atualizações do sistema operacional, vimos aumentos substanciais na segurança do Mac, de modo que as chances de um invasor remoto assumir o controle continuam diminuindo, enquanto o roubo físico é tão arriscado como sempre.

E sim, se uma máquina for enviada para reparo, e o admin / decrypt PW for fornecido, seus dados estarão disponíveis para snoopers. Uma maneira fácil de dificultar é simplesmente criar uma segunda conta de administrador, com um PW diferente, para que nenhum técnico possa facilmente fazer login em sua conta principal. Isso negaria qualquer espionagem e só seria possível acessar seus dados com algum trabalho bastante sério para alterar as permissões. Mais do que um bisbilhoteiro faria ... apenas um hack / roubo sério tentaria. Última edição: 3 de dezembro de 2020
Reações:cool11

cool11

3 de setembro de 2006
  • 4 de dezembro de 2020
A senha do Filevault é igual à senha de login?

A apple exige que essa senha seja fornecida quando os usuários enviarem suas máquinas para centros de reparo oficiais da apple? H

Hobowankenobi

27 de agosto de 2015
na linha terrestre mr. ferreiro.
  • 4 de dezembro de 2020
cool11 disse: Senha do Filevault, é o mesmo que a senha de login?

A apple exige que essa senha seja fornecida quando os usuários enviarem suas máquinas para centros de reparo oficiais da apple?
Sim, mesmo PW. Nada mais para fazer ou lembrar.

Somente usuários habilitados podem descriptografar a unidade e fazer login . Então, sim, se um técnico precisar fazer login, você terá que fornecer um PW. Pode ser uma conta diferente, se estiver habilitada.
Reações:cool11

Jaclu

12 de janeiro de 2021
  • 12 de janeiro de 2021
Apple_Robert disse: Com as máquinas mais recentes, você não pode dizer que o FV está ligado. É tão perfeito. Eu recomendo ativá-lo.
Não tenho certeza do que você está querendo dizer na primeira frase. No sentido de que você não percebe nenhuma perda de desempenho, eu concordo. No entanto, você pode dizer se o FV está ligado, basta fazer um

lista apfs diskutil

E para cada volume, o status do FileVault é listado

Apple_Robert

21 de setembro de 2012
No meio de vários livros.
  • 12 de janeiro de 2021
jaclu disse: Não tenho certeza do que você está querendo dizer na primeira frase. No sentido de que você não percebe nenhuma perda de desempenho, eu concordo. No entanto, você pode dizer se o FV está ligado, basta fazer um

lista apfs diskutil

E para cada volume, o status do FileVault é listado
Eu estava me referindo à degradação do desempenho, a não ser capaz de dizer ...
Reações:Jaclu
  • 1
  • 2
  • 3
  • 4
Próximo

Vá para página

IrPróximo Último
Apple News Notícias da Apple análise Avaliações How Tos
Cartão Apple classificado como o melhor em satisfação do cliente pela J.D. Power
Disponibilidade de banda ultralarga se expande para Argentina, Paraguai e mais
Publicações Populares

Publicações Populares

Apple News
As pré-encomendas do iPhone 12 Pro já se esgotaram com os prazos de entrega chegando em novembro
Fóruns
Pessoas que não reconhecem e-mails / mensagens importantes. . .
Apple News
O serviço de streaming de TV gratuito e com suporte de anúncios lança aplicativos móveis independentes
Apple News
HomePod Mini suporta tecnologia de rede de thread de baixa potência
Apple News
Funcionários da Apple Store comemorarão o Dia da Terra com camisas verdes a partir desta semana
Apple News
Supostas imagens de AirPods 3 com design 'Pro' compartilhado online [atualizado]