Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum>Software>FileVault auf neuem MBP aktivieren - praktikabel, sinnvoll?

FileVault auf neuem MBP aktivieren - praktikabel, sinnvoll?

clauss19.12.1614:43
Hallo,
in Bälde steht das neue MBP vor mir. Und ich frage mich ob ich nun endlich mal FileVault aktivieren sollte.
Gibt es Nachteile, ich hörte mal von Problemen mit TM Backups .
Vorteil ist klar, die Verschlüsselung der Daten .
Danke und einen schönen Montag,
Claus
0

Kommentare

breaker
breaker19.12.1614:48
Seit langer Zeit aktiviert auf meinem MBPR, keinerlei Probleme oder Geschwindigkeitseinbußen, auch mit TM nicht. Sinnvoll ist es auf einem Notebook auf jeden Fall!
0
coffee
coffee19.12.1615:03
breaker

+ 1
„Simplicity is the ultimate Sophistication (Steve Jobs)“
0
logo19.12.1615:34
coffee
breaker

+ 1
+1
0
Hannes Gnad
Hannes Gnad19.12.1615:50
+1!
0
camaso
camaso19.12.1616:07
breaker
...oder Geschwindigkeitseinbußen, auch mit ™ nicht...
Hat das eigentlich mal wer getestet? Und wenn ja, wie waren die Resultate? Quellen?
0
tpau17
tpau1719.12.1616:12
Im Hinblick auf die Mobilität (von Inhaber und bösem Bube) und auch dem Thema "Defekt und Reparatureinsendung" eine 1++++ ....
0
Peter Eckel19.12.1616:15
Seit Jahren eingeschaltet, niemals ein Problem gehabt.

Auf mobilen Geräten ist Plattenverschlüsselung und Firmwarepaßwort ein Muß.

Bei letzterem muß man aber höllisch aufpassen, da bei der Eingabe des Paßworts auf Firmwareebene immer die US-englische Tastaturbelegung aktiv ist!
„Ceterum censeo librum facierum esse delendum.“
0
skid_KM19.12.1616:16
Ich habe beim 2012er 15'' MBP Retina (512MB SSD) mit dem damaligen OS X Tests mit und ohne FileVault gemacht.

Anwendungsfall für mich: compile/build/Unittests/Integrationstests von Java Projekten mit (damals) Maven, Glassfish und JBoss ApplicationServer und Oracle Datenbank (letztere in einer Virtuellen Maschine (VMWare Fusion)).
D.h.: insbesondere viele kleine Dateien lesen (Java Sourcen), schreiben (Java class-Files), zu Jar Archiven zusammenpacken (analog Zip) aus Jar Archiven lesen. Außerdem phasenweise alle CPUs belastet (parallel builds). Der gesamte automatisierte Prozess dauerte damals ca. 10 Minuten.

Ergebnis: mit/ohne FileVault 2 damals kein messbarer Unterschied. Ich war (und bin immer noch) beeindruckt. Das hatte ich nicht erwartet.

Danach habe ich keine weiteren Messungen gemacht.
0
jensche19.12.1616:21
breaker
Seit langer Zeit aktiviert auf meinem MBPR, keinerlei Probleme oder Geschwindigkeitseinbußen, auch mit TM nicht. Sinnvoll ist es auf einem Notebook auf jeden Fall!

+++++1000
0
Andy85
Andy8519.12.1616:25
+++++++1 immer aktiv gehabt iMac wie Macbook`s
0
breaker
breaker19.12.1617:00
Auf Millisekunden hab ich es nicht getestet. Nachdem ich es aktiviert habe, hatte ich damals ein paar Tests mit größeren PSD-Dateien gemacht und keinen Unterschied gemerkt.
camaso
breaker
...oder Geschwindigkeitseinbußen, auch mit ™ nicht...
Hat das eigentlich mal wer getestet? Und wenn ja, wie waren die Resultate? Quellen?
0
Black Mac
Black Mac19.12.1617:09
Ich kann 4K-Videos bei aktiviertem FileVault schneiden. Also, wenn das nicht reicht …

Wenn mir allerdings das MacBook unverschlüsselt abhanden kommen würde, täte ich lange Zeit kein Auge mehr zu. MacBook ohne FileVault geht ja wohl gar nicht!
„P.S.: Apple kann keine Dienste.“
0
camaso
camaso19.12.1617:13
Danke
0
Hannes Gnad
Hannes Gnad19.12.1617:44
Der Performance-Verlust hängt vom Modell ab. Alle Geräte ab 2011 oder so haben die notwendige Crypto-Engine als Chip bzw. Teil der CPU mit an Bord, daher spürt man dann keinen Verlust, weil es für die eigentliche CPU auch keinen gibt. Bei älteren Modellen sind es wenige Prozent.
0
Hannes Gnad
Hannes Gnad19.12.1617:48
Peter Eckel
Auf mobilen Geräten ist Plattenverschlüsselung und Firmwarepaßwort ein Muß.
Das Firmware-Passwort ist eigentlich für gesicherte, stationäre Pool-Rechner, Kioske usw. gedacht, damit die nicht mit fremdem OS gebootet werden. Bei mobilen Geräten, mit vollem physischen Zugriff, ist die Wirkung begrenzt.
0
Black Mac
Black Mac19.12.1617:49
Hannes Gnad
Danke für die Erklärung. Immer wieder schön, was man von dir alles lernen kann! 👍🏻
„P.S.: Apple kann keine Dienste.“
0
Peter Eckel19.12.1618:08
Hannes Gnad
Das Firmware-Passwort ist eigentlich für gesicherte, stationäre Pool-Rechner, Kioske usw. gedacht, damit die nicht mit fremdem OS gebootet werden. Bei mobilen Geräten, mit vollem physischen Zugriff, ist die Wirkung begrenzt.

Kommt darauf an, wogegen man sich absichern will. Ich habe es mangels Hardware nicht selbst testen können, aber nach meiner Kenntnis ist z.B. dieser Angriff bei gesetztem EFI-Paßwort nicht möglich.

Nachdem auch noch Xeno Kovah explizit (nicht nur in diesem Zusammenhang) eine entsprechende Empfehlung zum Setzen des Firmwarepaßworts ausgesprochen hat und es ja auch nicht wirklich wehtut (wenn man es nicht gerade vergißt, dann freut es wenigstens den AASP ), bleibe ich dabei, es zumindest auf mobilen Geräten zu setzen.
„Ceterum censeo librum facierum esse delendum.“
0
Andy85
Andy8519.12.1619:06
alles ist umgebar ....
auch FileVault
0
Peter Eckel19.12.1619:38
Andy85
alles ist umgebar ....
auch FileVault

Das ist kein besonders gutes Argument, nichts zu machen.

Wie die beiden Forscher in Afrika: "Ich muß nicht schneller laufen als der Löwe. Es reicht, wenn ich schneller laufe als Du!"
„Ceterum censeo librum facierum esse delendum.“
0
Black Mac
Black Mac19.12.1619:48
Andy85
alles ist umgebar ....
auch FileVault

Na, dann lass’ mal hören, wie Apples Verschlüsselung ausgehebelt wird.
„P.S.: Apple kann keine Dienste.“
0
coffee
coffee19.12.1620:07
Andy85
alles ist umgebar ....
auch FileVault
Sogar die Rechtschreibung!
„Simplicity is the ultimate Sophistication (Steve Jobs)“
0
Andy85
Andy8519.12.1620:08
genau so wie alles andere auch; wie gesagt mittel und Wege gibts immer
oder meinst du das "Finanzamt" bekommt dein Mac samt Cloud nicht entsperrt
0
Black Mac
Black Mac19.12.1620:12
Andy85
genau so wie alles andere auch; wie gesagt mittel und Wege gibts immer
oder meinst du das "Finanzamt" bekommt dein Mac samt Cloud nicht entsperrt

Nein, bekommt es nicht. Und du bist auch nur ein Schwätzer.
„P.S.: Apple kann keine Dienste.“
0
Andy85
Andy8519.12.1620:13
stimmt !
0
Peter Eckel19.12.1620:15
Andy85

Mehr bleibt leider nicht übrig, wenn man alles streicht, was kein Argument ist.
„Ceterum censeo librum facierum esse delendum.“
0
Andy85
Andy8519.12.1620:20
Brute-Force ... aber ich weis ... alles Save
0
coffee
coffee19.12.1620:27
Andy85
Brute-Force ... aber ich weis ... alles Save
Was weist du schon?! Sicher nicht uns den Weg...
„Simplicity is the ultimate Sophistication (Steve Jobs)“
0
X-Jo19.12.1620:33
Andy85
Brute-Force ... aber ich weis ... alles Save
Bei 20-stelligem Kennwort haben deine Nachfahren in ca. 1.000 Jahren das Ergebnis, können die Daten aber nicht mehr lesen — mangels geeigneter Software!
0
talking head
talking head20.12.1600:28
Weil mir FileVault immer viel zu undurchsichtig ist, habe ich es auch nie verwendet. Ich sehe immer noch nicht die Vorteile, das zu tun, bzw. verstehe es nicht.

1. Der FileVault-Schutz nützt mir nur etwas, wenn man mein Macbook stehlen würde. Der Dieb könnte dann das Passwort nicht knacken?
2. Filevault schützt nicht gegen Diebstahl aus dem Netz? Meine Daten sind ebenso gefährdet wie ohne Verschlüsselung?
3. Bei Emails hilft mir Filefault nicht?
4. Aus welchem Grund sollte man die Einstellung wählen: "Mein iCloud Account darf meine Festplatte entsperren"? Das erscheint mir so, als wenn ich einen tollen Tresor hätte und den Schlüssel dafür einfach oben, auf den Tresor legen würde.
5. Dokumente in der Dropbox werden durch FileVault auch verschlüsselt?
6. Wenn ein Mac FileVault in der Dropbox benutzt, und der andere Mac nicht: kann der Mac ohne FileVault auch auf die Dokumente zugreifen?
7. Wenn man die Festplatte klont (z.B. mit SuperDuper), ist dann der Klon auch verschlüsselt? Wenn nicht, was bringt das dann?
8. Schützt FileVault davor, wenn ich in einem Kunden-WLAN eingewählt bin, damit keine Daten entwendet/eingesehen werden können?
9. Kann ich FileVault nach aktivieren wieder deaktivieren?
10. Was passiert mit den VMs (Windows 10) mit FileVault? Ist das dann auch verschlüsselt?

Fragen über Fragen
0
Peter Eckel20.12.1600:55
talking head
1. Der FileVault-Schutz nützt mir nur etwas, wenn man mein Macbook stehlen würde. Der Dieb könnte dann das Passwort nicht knacken?

Das hängt unter anderem massiv von Deinem Paßwort ab.
talking head
2. Filevault schützt nicht gegen Diebstahl aus dem Netz? Meine Daten sind ebenso gefährdet wie ohne Verschlüsselung?

Korrekt.
talking head
3. Bei Emails hilft mir Filefault nicht?

Korrekt.
talking head
4. Aus welchem Grund sollte man die Einstellung wählen: "Mein iCloud Account darf meine Festplatte entsperren"? Das erscheint mir so, als wenn ich einen tollen Tresor hätte und den Schlüssel dafür einfach oben, auf den Tresor legen würde.

Aus keinem, wenn Du mich fragst. Das ist meiner Meinung nach eine idiotische Option, aus genau dem von Dir genannten Grund. Den Recovery-Code druckt man sich besser aus und legt ihn sicher weg - meine sind im Banktresor.

OK, es ist nicht ganz so schlimm, wie den Schlüssel auf den Tresor zu legen. Eher so, als würdest Du ihn einem Kollegen zur Aufbewahrung geben: Wenn Du dem Kollegen (iCloud) bedingungslos vertrauen kannst, ist alles OK.
talking head
5. Dokumente in der Dropbox werden durch FileVault auch verschlüsselt?

Nein. Dokumente in der Dropbox werden, wenn man unbedingt Dropbox benutzen will, aber Sicherheit braucht, z.B. mit Boxcryptor verschlüsselt.
talking head
6. Wenn ein Mac FileVault in der Dropbox benutzt, und der andere Mac nicht: kann der Mac ohne FileVault auch auf die Dokumente zugreifen?

Siehe oben. Dropbox hat nichts mit FileVault zu tun. FileVault verschlüsselt die Daten auf der Platte, nicht mehr und nicht weniger. Die Lösung für DropBox heißt z.B. Boxcryptor.
talking head
7. Wenn man die Festplatte klont (z.B. mit SuperDuper), ist dann der Klon auch verschlüsselt? Wenn nicht, was bringt das dann?

Wenn man sie physisch klont (z.B. per dd, ob Super Duper den Modus unterstützt kann ich nicht sagen), dann ist die Kopie auch verschlüsselt. Wenn man eine logische Kopie (also eine der Daten) machen will, muß man bei einer FileVault-verschlüsselten Platte selbige zuerst mit seinem Paßwort entsperren und damit entschlüsseln.
talking head
8. Schützt FileVault davor, wenn ich in einem Kunden-WLAN eingewählt bin, damit keine Daten entwendet/eingesehen werden können?

Nein. FileVault verschlüsselt die Platte, nicht mehr und nicht weniger.
talking head
9. Kann ich FileVault nach aktivieren wieder deaktivieren?

Ja, natürlich.
talking head
10. Was passiert mit den VMs (Windows 10) mit FileVault? Ist das dann auch verschlüsselt?

Ja. Die VMs sind nur Dateien auf der Platte, und die ist verschlüsselt - die Dateien der VMs also auch.

Und noch eine Anmerkung: Wenn die Gefahr besteht, daß der Rechner temporär oder dauerhaft in die Hände anderer gerät (z.B. beim Zurücklassen im Hotelzimmer): Rechner herunterfahren. Im Schlafzustand liegt der Schlüssel für die Platte im RAM und die Platte ist beim Aufwachen entsperrt.
„Ceterum censeo librum facierum esse delendum.“
0
talking head
talking head20.12.1601:13
Peter

Lieben Dank für die schnelle Antwort.

Ich glaube ich werde das mal über die Weihnachtstage an meinem 15er MBP 2014 aktivieren. "Früher" hiess es immer: "FileVault macht nur das System langsam und man braucht es nicht unbedingt". Darum habe ich dieses Thema wohl komplett verdrängt.

An dieser Stelle auch einen Dank an clauss (unseren Threadersteller), der das Thema mal wieder angesprochen hat.

Weisst Du zufällig ob der "Hardwarebeschleuniger" auch schon in einem 17er MBP von 2011 verbaut wurde? Habe gelesen, dass FileVault das System bei älteren Macs sehr ausbremsen soll. Ist das letzte 17er mit dem maximalen Ausbau und 1 TB Samsung SSD (nachträglich eingebaut).
0
Peter Eckel20.12.1602:19
talking head
Lieben Dank für die schnelle Antwort.

Gern. Deine Fragen waren ja schön präzise gestellt und sinnvoll.
talking head
"Früher" hiess es immer: "FileVault macht nur das System langsam und man braucht es nicht unbedingt".

Das dürfte wirklich schon eine Weile her sein, vermutlich in Zeiten von FileVault 1. Das war allerdings wirklich ein ziemlicher Krampf und hat zumindest bei mir einiges an Scherereien gemacht. Und nicht einmal die komplette Platte verschlüsselt, sondern nur den Benutzerordner.

FileVault 2 hingegen bemerke ich nicht einmal, außer beim Booten daran, daß der Rechner das Paßwort anfordert, bevor er damit anfängt, und nicht erst am Ende des Bootvorgangs. Ansonsten ist die Verschlüsselung vollkommen transparent.
talking head
Weisst Du zufällig ob der "Hardwarebeschleuniger" auch schon in einem 17er MBP von 2011 verbaut wurde?

Ob die Verschlüsselung bei dem Modell schon in Hardware realisiert ist, kann Dir Hannes bestimmt besser sagen als ich, aber ich habe genau das MBP 17" von 2011 als Hauptnotebook, und ich merke keinerlei Performanceeinbußen durch die Verschlüsselung.

Das ist im übrigen auch schon so, seit es FileVault 2 gibt, also seit OS X 10.7 (Lion). Ich habe es seitdem im Einsatz, zuerst auf einem Testsystem und dann nach ein paar Monaten problemlosen Einsatzes auf allen Rechnern.
talking head
Habe gelesen, dass FileVault das System bei älteren Macs sehr ausbremsen soll. Ist das letzte 17er mit dem maximalen Ausbau und 1 TB Samsung SSD (nachträglich eingebaut).

Genau wie meines ... 2.5 GHz i7, 16 GB RAM, 1 TB SSD (allerdings Crucial, nicht Samsung). FileVault ist von der Systemleistung her nach meinem Empfinden nicht zu bemerken.
„Ceterum censeo librum facierum esse delendum.“
0
clauss20.12.1605:57
Mit ging es so wie dir - verdrängt aufgrund von versch. Aussagen. Aber die Zeiten ändern sich, daher war mir ein Update nötig. Ich werde es wohl gleich am Anfang aktivieren.
Du kannst ja deine Erfahrungen hier mitteilen. Ich werde es auch machen (sofern ich es dann nicht vergesse).
Vielen Dank nochmals an alle für die Antworten!
talking head
Peter
Lieben Dank für die schnelle Antwort.
Ich glaube ich werde das mal über die Weihnachtstage an meinem 15er MBP 2014 aktivieren. "Früher" hiess es immer: "FileVault macht nur das System langsam und man braucht es nicht unbedingt". Darum habe ich dieses Thema wohl komplett verdrängt.
An dieser Stelle auch einen Dank an clauss (unseren Threadersteller), der das Thema mal wieder angesprochen hat.
0
talking head
talking head20.12.1608:29
Peter

OK, aus Performance-Gründen spricht dann wohl nichts dagegen FileVault auch beim 17er zu aktivieren.

Wenn ich das Book zuklappe und danach wieder aufklappe: muss ich dann jedesmal das Passwort eingeben? Ich schalte meine Books so gut wie nie aus, eigentlich nur bei Updates fahren die mal runter. Damit das ganze Sinn ergibt, sollte das Passwort ja möglichst komplex sein (siehe deine Antwort oben). Das war auch einer der Gründe, warum ich FileVault nie aktiviert hatte.

Da ich ein sehr fauler "Passwort-Eintipper" bin: ist es ein sinnvolles Szenario FileVault nur temporär zu aktivieren, solange das mobile Gerät Diebstahl-gefährdet ist, und danach wieder zu deaktivieren? Oder ist das zu aufwändig bzw. dauert der Vorgang jedesmal zu lange? Was spräche sonst noch dagegen? Eventuell Haltbarkeit/Laufzeit der SSD?

clauss
Werde gerne hier berichten, falls ich es über Weihnachten aktiviere. Bin mir ehrlich gesagt schon wieder unsicher ob ich es überhaupt tue (siehe meine letzte Frage). Wenn ich das Passwort nur einmal eingeben muss beim hochfahren (bzw. Benutzer anmelden), dann wäre das OK für mich. Wenn ich das dann aber ständig tun müsste, wäre mir das zu mühsam.
0
coffee
coffee20.12.1608:57
talking head
Wenn ich das Book zuklappe und danach wieder aufklappe: muss ich dann jedesmal das Passwort eingeben? Ich schalte meine Books so gut wie nie aus, eigentlich nur bei Updates fahren die mal runter. Damit das ganze Sinn ergibt, sollte das Passwort ja möglichst komplex sein (siehe deine Antwort oben). Das war auch einer der Gründe, warum ich FileVault nie aktiviert hatte.
Ich nutze an meinem MacBook 12" FileVault 2. Damit ich nicht jedesmal das komplexe Passwort eingeben muss, verwende ich zum Entsperren die App MacID auf meinem iPhone 6S. Funktioniert bestens. Siehe hierzu auch den Thread:
„Simplicity is the ultimate Sophistication (Steve Jobs)“
0
dsTny20.12.1609:01
talking head
Wenn ich das Book zuklappe und danach wieder aufklappe: muss ich dann jedesmal das Passwort eingeben? Ich schalte meine Books so gut wie nie aus, eigentlich nur bei Updates fahren die mal runter. Damit das ganze Sinn ergibt, sollte das Passwort ja möglichst komplex sein (siehe deine Antwort oben). Das war auch einer der Gründe, warum ich FileVault nie aktiviert hatte.
Das kannst du in Systemeinstellungen > Sicherheit > im Tab Allgemein unter "Passwort erforderlich" ausschalten (Haken nicht gesetzt), zeitverzögert oder sofort (Haken gesetzt) setzen. Die Einstellung erlaubt es dir, auch ohne Passworteingabe dein Mac nach dem Sleep / Wake zu benutzen.
ABER: Ich finde, ein Deaktivieren ist ein sehr hohes Sicherheitsrisiko. Wenn du es im Sleep hast, kann mit deaktivierter Passworteingabe jeder an dein Mac ran. Dann brauch es auch kein FileVault, oder? Im Sinne der Sicherheit - die du hier ja haben willst, sonst würdest du kein FileVault aktivieren - solltest du meiner Meinung nach die Einstellung auf "sofort" stellen. Je öfter du das Passwort eingibst, desto schneller wirst du bei der Eingabe. Deswegen empfehle ich dringend, es eingeschaltet und auf sofort gestellt zu haben statt die Einstellung komplett zu deaktivieren.
talking head
Da ich ein sehr fauler "Passwort-Eintipper" bin: ist es ein sinnvolles Szenario FileVault nur temporär zu aktivieren, solange das mobile Gerät Diebstahl-gefährdet ist, und danach wieder zu deaktivieren? Oder ist das zu aufwändig bzw. dauert der Vorgang jedesmal zu lange? Was spräche sonst noch dagegen? Eventuell Haltbarkeit/Laufzeit der SSD?
Nun ja, das ist Auslegungssache. Mir wäre es zu umständlich, denn jedes Mal muss die SSD verschlüsselt und entschlüsselt werden. Das dauert natürlich seine Zeit. Ich würde es daher nicht empfehlen. Ich würde schon denken, dass auf Dauer die Haltbarkeit der SSD darunter leiden würde, da bei jedem Vorgang die Dateien neu geschrieben werden (oder?).
talking head
clauss
Werde gerne hier berichten, falls ich es über Weihnachten aktiviere. Bin mir ehrlich gesagt schon wieder unsicher ob ich es überhaupt tue (siehe meine letzte Frage). Wenn ich das Passwort nur einmal eingeben muss beim hochfahren (bzw. Benutzer anmelden), dann wäre das OK für mich. Wenn ich das dann aber ständig tun müsste, wäre mir das zu mühsam.
Mache es doch nicht so kompliziert Das ist keine Sache, über die man lange nachdenken muss, finde ich. Da du den Ursprungszustand ohne Probleme wiederherstellen kannst, probiere es einfach aus. Arbeite mal ein/zwei Wochen damit und wenn es dir dann noch immer nicht gefällt, dann minimiere die Sicherheit durch deaktivieren von der Einstellung "Passwort erforderlich) oder entschlüssele die SSD wieder komplett (also FileVault deaktivieren) und du arbeitest wie zuvor
Wer nicht wagt, der nicht gewinnt

Nun eine Frage von mir: Wie ist es eigentlich, wenn das MacBook in Sleep Mode geht (mit gesetzter Einstellung, dass das Passwort sofort erforderlich ist) - wird dann der Encryption Key aus dem RAM gelöscht (und neu angelegt beim Entsperren des MacBooks) oder wird der weiterhin im RAM gehalten? Zwecks Auslesen über Hardware-Schnittstelle oder so wäre das gut zu wissen, finde ich

/edit
coffee
Ich nutze an meinem MacBook 12" FileVault 2. Damit ich nicht jedesmal das komplexe Passwort eingeben muss, verwende ich zum Entsperren die App MacID auf meinem iPhone 6S. Funktioniert bestens. Siehe hierzu auch den Thread:
Oder wenn du eine Watch hast, kannst du den Mac auch damit entsperren Vorausgesetzt, die Hardware passt und du aktivierst die dafür notwendige Einstellung auf dem Mac
0
Black Mac
Black Mac20.12.1609:03
coffee
talking head
Wenn ich das Book zuklappe und danach wieder aufklappe: muss ich dann jedesmal das Passwort eingeben? Ich schalte meine Books so gut wie nie aus, eigentlich nur bei Updates fahren die mal runter. Damit das ganze Sinn ergibt, sollte das Passwort ja möglichst komplex sein (siehe deine Antwort oben). Das war auch einer der Gründe, warum ich FileVault nie aktiviert hatte.
Ich nutze an meinem MacBook 12" FileVault 2. Damit ich nicht jedesmal das komplexe Passwort eingeben muss, verwende ich zum Entsperren die App MacID auf meinem iPhone 6S. Funktioniert bestens. Siehe hierzu auch den Thread:

Systemeinstellung «Sicherheit» > «Allgemein»: Dort habe ich die Option «Passwort erforderlich …» zuhause ausgeschaltet und aktiviere sie nur, wenn ich unterwegs bin. Allerdings darf das natürlich nicht vergessen werden, sonst ist die ganze Übung für die Katz’.
„P.S.: Apple kann keine Dienste.“
0
talking head
talking head20.12.1609:27
dsTny und Black Mac
OK, das scheint eine Lösung zu sein: Passworteingabe nur aktivieren, wenn man unterwegs ist. Ich werde FileVault auf alle Fälle testen. Ihr habt mich überzeugt

coffee
Habe auch ein IPhone 6s. Weisst Du ob man mit der App MacID gleichzeitig zwei Macs entsperren kann? Ich habe oft beide Books gleichzeitig im Einsatz (natürlich nur wenn ich nicht unterwegs bin).

Am bequemsten wäre natürlich das Entsperren auf den neuen MBP mit Touch ID. Allerdings warte ich mit dem Kauf auf auf die nächste (wenn nicht sogar übernächste) Aktualisierung der Books. Derzeit sehe ich noch nicht die Notwendigkeit bzw. den Performancesprung zum 2014er Modell 15er mit Maximalausbau.
0
coffee
coffee20.12.1609:40
talking head
coffee
Habe auch ein IPhone 6s. Weisst Du ob man mit der App MacID gleichzeitig zwei Macs entsperren kann? Ich habe oft beide Books gleichzeitig im Einsatz (natürlich nur wenn ich nicht unterwegs bin).
Ja man kann. Ich sperre und entsperre auch meinen iMac Retina 21,5". Man kann die erforderliche kostenlose Mac App so einrichten, dass der betreffende Mac automatisch sperrt, wenn man sich mit dem iPhone von ihm entfernt und entsperrt, sobald man wieder in seine Nähe kommt. Das Entsperren ist auch mit Touch ID am iPhone möglich. Diese Funktion ist ebenfalls in MacID implementiert. Schau sie dir mal an:
„Simplicity is the ultimate Sophistication (Steve Jobs)“
0
pünktchen
pünktchen20.12.1609:43
Man kann sich unterwegs ja auch ausloggen oder über schnellen Benutzerwechsel auf das Anmeldefenster wechseln. Gut bei zweiter Variante bleibt man im Hintergrund angemeldet und die Festplatte daher entsperrt, aber wenn man keine hohen Sicherheitsansprüche hat sollte das auch reichen.

PS: Das scheint mir beim Passwort beim Ruhezustand aber auch nicht anders zu sein. Also vielleicht immer besser abmelden?
0
Peter Eckel20.12.1612:26
talking head
OK, aus Performance-Gründen spricht dann wohl nichts dagegen FileVault auch beim 17er zu aktivieren.

Nein, absolut nicht.
talking head
Wenn ich das Book zuklappe und danach wieder aufklappe: muss ich dann jedesmal das Passwort eingeben?

Nein, und fast bin ich versucht zu sagen "Nein, leider". Das war der Grund für meinen Nachsatz, daß es sinnvoll ist, das Notebook, wenn man es denn irgendwo allein zurückläßt, herunterzufahren. Im Schlafzustand liegt der Schlüssel irgendwo im RAM herum, um die Platte auch nach dem Aufwachen wieder nutzen zu können. Das ist natürlich auch für Features wie das Abrufen von Mails und das Empfangen von Benachrichtigungen im Schlafzustand notwendig.
talking head
Ich schalte meine Books so gut wie nie aus, eigentlich nur bei Updates fahren die mal runter. Damit das ganze Sinn ergibt, sollte das Passwort ja möglichst komplex sein (siehe deine Antwort oben).

Das ist immer eine Abwägungssache: Klar, möglichst komplex ist fein, aber wenn man es damit übertreibt, siegt irgendwann die Faulheit oder die Vergeßlichkeit. Es ist immer eine Abwägungssache zwischen Nutzbarkeit und Sicherheit.

Es gibt verschiedene Ansätze für gute, sichere Paßwörter. Ein einfacher Weg, ein brauchbares Paßwort zu finden, ist es, einen ganzen Satz aus unsinnig zusammengewürfelten Wörtern zu verwenden (der Klassiker: ). Das hat man meist schneller getippt als ein komplexes Paßwort, bei dem man sich an jede Ziffer separat erinnern muß und das wegen Sonderzeichen etc. schlecht von der Hand geht. Aber das hängt natürlich auch von persönlichen Präferenzen ab, und davon, was man sich besser merken kann. Mein Ansatz ist ein anderer, aber ich denke vermutlich auch etwas schräg.
talking head
Da ich ein sehr fauler "Passwort-Eintipper" bin: ist es ein sinnvolles Szenario FileVault nur temporär zu aktivieren, solange das mobile Gerät Diebstahl-gefährdet ist, und danach wieder zu deaktivieren?

Naja, das kommt darauf an, wie oft und wie lange Du umschalten willst. Die Verschlüsselung ein- und auszuschalten braucht jeweils einige Zeit und erfordert beim Systemvolume zwingend einen Reboot, das würde ich also nicht täglich machen wollen.
talking head
Oder ist das zu aufwändig bzw. dauert der Vorgang jedesmal zu lange? Was spräche sonst noch dagegen? Eventuell Haltbarkeit/Laufzeit der SSD?

Sicherlich wird das dauernde Neubeschreiben eines großen Teils der Platte auch auf die SSD-Lebensdauer einen Einfluß haben. Ich glaube aber nicht, daß das in Relation zu anderen Dingen wie z.B. dem Schreiben von Logdateien oder des Pagefiles irgendeine Relevanz hat.
talking head
Bin mir ehrlich gesagt schon wieder unsicher ob ich es überhaupt tue (siehe meine letzte Frage). Wenn ich das Passwort nur einmal eingeben muss beim hochfahren (bzw. Benutzer anmelden), dann wäre das OK für mich. Wenn ich das dann aber ständig tun müsste, wäre mir das zu mühsam.

Wie gesagt: Für das Aufwachen aus dem Schlafzustand brauchst Du es nicht einzugeben, nur beim Booten. Und damit kannst Du ja vielleicht sogar leben: Wenn das Notebook diebstahlgefährdet ist, fährst Du es halt herunter, wenn es daheim in "Sicherheit" liegt (das ist immer relativ ), gehst Du in den Schlafzustand und alles ist bequem. Da brauchst Du dann auch nicht hin- und her zu ver- und entschlüsseln.

Generell ist Sicherheit, wie ja schon gesagt, unbequem. Wenn Du Dir aber überlegst, ein wie großer Teil Deines Lebens sich mittlerweile auf Deinem Rechner abspielt (private Korrespondenz, Briefe an Behörden, Steuererklärungen, Adressen, Zugangsdaten von Mail- und Social Media-Accounts, ggf. Geschäftsdokumente von Kunden etc. pp.), dann wird einem bei der Vorstellung, das alles könnte ungesichert in fremde Hände geraten, schon eher unangenehm zumute.

Eines der größten Probleme, die Einbruchsopfer (also so ganz old-school, mit Brecheisen und Taschenlampe) auch noch lange nach der Tat mit dem Geschehen haben, ist der Verlust der Privatsphäre ihrer Wohnung. Jetzt stell Dir vor, die Einbrecher waren nicht nur in Deiner Wohnung, sondern sie haben sie mitgenommen und können in Ruhe darin herumstöbern, so lange sie wollen - das entspricht ungefähr dem, was Du hast, wenn jemand Deine unverschlüsselte Platte klaut.

Es gibt schon Gründe, warum ich als Reise- und Konferenznotebook ein Air habe, auf dem deutlich weniger "interessantes" Zeug liegt als auf dem Arbeits-17er ...
„Ceterum censeo librum facierum esse delendum.“
0
Peter Eckel20.12.1612:35
dsTny
Das kannst du in Systemeinstellungen > Sicherheit > im Tab Allgemein unter "Passwort erforderlich" ausschalten (Haken nicht gesetzt), zeitverzögert oder sofort (Haken gesetzt) setzen. Die Einstellung erlaubt es dir, auch ohne Passworteingabe dein Mac nach dem Sleep / Wake zu benutzen.

Nein, das hat nichts mit FileVault zu tun. Das beeinflußt nur die Notwendigkeit zur Paßworteingabe nach dem Aufwachen - die Platte ist im Schlafzustand nicht verschlüsselt, und damit hilft es auch nichts, daß der Bildschirm gesperrt ist.
dsTny
ABER: Ich finde, ein Deaktivieren ist ein sehr hohes Sicherheitsrisiko.

Ja. Keine gute Idee.
dsTny
Nun ja, das ist Auslegungssache. Mir wäre es zu umständlich, denn jedes Mal muss die SSD verschlüsselt und entschlüsselt werden. Das dauert natürlich seine Zeit. Ich würde es daher nicht empfehlen. Ich würde schon denken, dass auf Dauer die Haltbarkeit der SSD darunter leiden würde, da bei jedem Vorgang die Dateien neu geschrieben werden (oder?).

Ich denke, die Faulheit und das Sicherheitsbedürfnis lassen sich recht gut in den Griff bekommen, wenn man das Notebook einfach herunterfährt, wenn man es allein lassen will, und ansonsten mit dem Schlafzustand arbeitet.

OK, für den sollte dann natürlich auch das Paßwort gesetzt sein, sonst ist das Loch an anderer Stelle offen ...

Es gibt übrigens eine kleine App, die bei längeren Arbeitsphasen mit Pausen, die normalerweise zum Schlafzustand führen würden (habe ich häufiger) das Einschlafen verhindert: . Man aktiviert eine kleine Kaffeetasse in der Menüleiste und der Rechner schläft nicht mehr ein ... nettes kleines Tool, das man dann natürlich auch nicht auszuschalten vergessen darf (es geht aber auch mit Timer).
dsTny
Nun eine Frage von mir: Wie ist es eigentlich, wenn das MacBook in Sleep Mode geht (mit gesetzter Einstellung, dass das Passwort sofort erforderlich ist) - wird dann der Encryption Key aus dem RAM gelöscht (und neu angelegt beim Entsperren des MacBooks) oder wird der weiterhin im RAM gehalten? Zwecks Auslesen über Hardware-Schnittstelle oder so wäre das gut zu wissen, finde ich

Siehe oben: Der Schlüssel liegt in dem Fall im RAM, damit ist im Schlafzustand faktisch keine Verschlüsselung gegeben. Ob und wie einfach er sich auslesen läßt, ist eine andere Frage, aber eine Schwächung der Sicherheit ist es allemal.
„Ceterum censeo librum facierum esse delendum.“
0
talking head
talking head20.12.1612:55
Peter

Klasse Antworten. Jetzt habe ich auch ein gutes Gefühl FileVault zu aktivieren. Ich danke dir.
0
tangoloco20.12.1613:07
Hier ist ein MBP 17 2011 early, 1G Samsung SSD,
ob mit oder ohne FileVault - kein Unterschied in der Performance.
Gruß
„... sehr veraltete mentale Schaltkreise lassen Menschen überall geheimnisvolle Kräfte vermuten“
0
epionier
epionier20.12.1615:30
Eine RIESEN Schwachstelle von FileVault 2 wurde gerade erst mit 10.12.2 gefixt.

Alle vorhergehenden Versionen von OSXes auf Macs mit Thunderbolt sind unsicher bei physischem Zugriff auf das Gerät!

Bei physischem Zugriff mit einem Thunderbolt Gerät, konnte vor 10.12.2 bislang ohne weiteres das FileVault 2 Passwort im Klartext (!!) aus dem Arbeitsspeicher ausgelesen/erraten werden:

Die Thunderbolt-Hardware kann man dort gleich kaufen und die Software gibts als Open Source zum download.

Leider liest man hier auf MTN ja nur von neuen Spielen für iOs oder von überteuerten Apple AirPods ;(

Der Beitrag ist für BlackMac der ja scheinbar auch alles besser weiß ;D
0
pünktchen
pünktchen20.12.1615:52
Ach und weil es eine Schwachstelle hatte sollte man es lieber gar nicht nutzen oder wie oder was? War übrigens eine Schwachstelle von macOS und nicht speziell von FileVault.
0
clauss20.12.1615:57
Ich muss jetzt mal was loswerden: Vielen Dank für die rege und konstruktive Teilnahme und die **hilfreichen** Kommentare und Tipps.
Und: Es wird hier nicht über andere hergezogen oder schlecht geredet, nur weil man anderer Meinung ist.
Also: vielen Dank!
0
Wurzenberger
Wurzenberger20.12.1616:09
Bei Filevault unter Tiger verliert man durch das verschlüsselte Sparseimage ziemlich viel Speicherplatz. Ist das bei Filevault 2 besser gelöst?
0
Hannes Gnad
Hannes Gnad20.12.1616:12
FileVault 2 hat mit FileVault 1 aka "Legacy FileVault" technisch so gar nichts zu tun. FileVault 2 benötigt keinen zusätzlichen Speicherplatz.
0
epionier
epionier20.12.1616:32
pünktchen

Das sagt ja keiner, dass Verschlüsselung nicht zweckmäßig ist, aber ich stelle mich auch nicht hin und behaupte, dass damit alles sicher ist, nur weil es der Theorie nach so sein sollte.

Und ein System bei dem man die verschlüsselten Daten auf einfache Art (ohne Bruteforce&Co.) auslesen kann, ist allerdings alles andere als sinnvoll.
Wenn dein Mac läuft bringt dir die Verschlüsselung des Dateisystems ohnehin nichts, wenn der Angriff remote erfolgt. Dem Irrtum unterliegen auch einige, die meinen es hätte erhebliche Vorteile dass Ihre Webserver das Dateisystem verschlüsselt haben.

Bei dem verlinkten Artikel ist der Entdecker ja zumindest an Apple herangetreten und hat dies nach der Behebung durch Apple veröffentlicht. Die Dunkelziffer derer, die so einen Fehler zu barem Geld machen und gerade nicht Apple melden ist sicherlich auch nicht gering, in Anbetracht der Summen die für solche Entdeckungen gezahlt werden, vgl. Fall iPhone-FBI.
0

Kommentieren

Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.