ผู้ใช้จำเป็นต้องมีพฤติกรรมใดบ้างเพื่อให้ Filevault 2 มีความปลอดภัยสูงสุด

สถานการณ์: รหัสผ่าน Filevault 2 สามารถถูกขโมยได้

Passware ได้เปิดตัวPassware Kit Forensic 11.3ซึ่งสามารถขโมยรหัสผ่าน FileVault 2 จาก RAM โดยทำการโจมตี DMAผ่านพอร์ต FireWire

พวกเขาระบุว่าซอฟต์แวร์ของพวกเขา:

กู้คืนรหัสผ่านล็อกอินของผู้ใช้ Mac และคีย์ FileVault จากหน่วยความจำคอมพิวเตอร์และ
ถอดรหัส TrueCrypt และ FileVault ในไม่กี่นาที

มีคำแนะนำหลายประการที่พยายามอธิบายวิธีการปกป้อง Mac ด้วย Filevault 2 จากการโจมตีดังกล่าว:

sudo pmset -a destroyfvkeyonstandby 1 hibernatemode 25

สิ่งนี้จะลบคีย์การเข้ารหัสโวลุ่มทั้งหมดออกจาก RAM เมื่อระบบเข้าสู่โหมดสลีปและบังคับให้ระบบเขียน RAM ลงดิสก์ทันทีและนำพลังงานออกจากหน่วยความจำเมื่อเข้าสู่โหมดสลีป

คำถาม:

พฤติกรรมของผู้ใช้ที่จำเป็นและขั้นตอนใดที่ต้องดำเนินการเพื่อการป้องกันสูงสุดด้วย FileVault 2 บน Mac?

— gentmatt
แหล่งที่มา

การลงทะเบียน NB ( ลิงค์ github ) สามารถทำการโจมตี DMA บนเป้าหมายที่หลากหลาย (OS X, Windows และ Linux) ดังนั้นคุณไม่จำเป็นต้องใช้ซอฟต์แวร์ Passware

— ทิม

คำถามของคุณมีสิ่งที่สำคัญที่สุดที่จำเป็นในการรักษาความปลอดภัยคอมพิวเตอร์จากการโจมตีที่มีแรงจูงใจเพื่อลดความเสี่ยงของการป้องกันระดับเสียงของ Mac FileVault 2

อย่าเชื่อมต่อ FireWire กับอุปกรณ์ที่คุณไม่เชื่อถือหรือไม่น่าเชื่อถือในขณะที่คุณลงชื่อเข้าใช้บัญชีที่เปิดใช้งานคีย์ไฟล์ vault
เลือกรหัสผ่านแบบใช้ครั้งเดียวที่ดีเพื่อลดโอกาสการถูกบุกรุกอื่น ๆ ลดระดับความปลอดภัยของรหัสผ่าน FileVault ของคุณ
อัปเดตเป็น 10.7.3 และตรวจสอบsudo pmset -a destroyfvkeyonstandby 1 hibernatemode 25การตั้งค่าการจัดการพลังงานที่บังคับใช้โหมดไฮเบอร์เนตเพื่อรักษาความปลอดภัยให้กับคีย์ของคุณจากการประนีประนอมเมื่ออุปกรณ์ปกติ "หลับ"

ฉันติดตามRich Troutonเพื่อติดตามความเคลื่อนไหวล่าสุดในบล็อกของเขาสำหรับคำอธิบายที่ดีเกี่ยวกับการรักษาความปลอดภัยของ Mac การผสมผสานของหัวข้อที่ทันสมัยปรุงรสด้วยประสบการณ์ในฐานะผู้ดูแลระบบโลกแห่งความจริงทำให้งานเขียนของเขามีค่ามากสำหรับฉัน

ปมของปัญหาคือการแยกวิเคราะห์ของคุณพฤติกรรมของผู้ใช้สิ่งที่จำเป็นเพื่อความปลอดภัย ฉันมักจะคิดว่าการรักษาความปลอดภัยเป็นความคิดและความพยายามอย่างต่อเนื่องในการวางแผนดำเนินการวัดและปรับตัว ความปลอดภัยไม่ใช่สิ่งที่คุณซื้อหรือสิ่งที่คุณ "ตั้งค่า" และฝึกอบรมผู้ใช้เพื่อไม่เปิดเผยรหัสผ่านที่พวกเขาเคยใช้ในการจัดเก็บวลีปลดล็อคของพวกเขาเป็นส่วนที่อ่อนแอที่สุดของเลเยอร์ความปลอดภัยของ FileVault ไม่ใช้รหัสผ่านซ้ำ - การมีระบบที่ให้ผู้ใช้ของคุณเข้าใจว่าเหตุใดรหัสผ่านของพวงกุญแจของพวกเขาจึงต้องมีเอกลักษณ์และปลอดภัยอยู่ไกลยากกว่าและใช้เวลานานกว่าเพียงแค่ตั้งค่าแผนสำหรับการใช้งานห้องเก็บไฟล์ในตอนแรก ขอให้โชคดีในการรักษาความปลอดภัย!

— bmike
แหล่งที่มา

นอกจากนี้อย่าเพิ่งตอบมาตรการทางเทคโนโลยีเพื่อปกป้องคุณ ทุกสิ่งที่คุณสามารถทำได้เพื่อเพิ่มความปลอดภัยผ่านการตั้งค่าและสามารถโจมตีได้ การโจมตีนี้จะไม่ใหม่ไม่ซ้ำกับ Filevault และยังไม่ได้เป็นจริงในทางปฏิบัติโดยเฉพาะอย่างยิ่งที่จะต้องแรกและสำคัญที่สุดเหนือสิ่งอื่น ๆ , การเข้าถึงทางกายภาพกับเครื่องของคุณในขณะที่มันเปิดอยู่ หากคุณกังวลเกี่ยวกับเรื่องนี้อย่าใช้การนอนหลับไม่ควรใช้ไฮเบอร์เนต เลือกรหัสผ่านที่ยาว (monkeyrhubarbcatsunglasses ดีกว่า hjsa £ 1KJh4 $) และปิดมันเมื่อไม่ใช้งาน

— stuffe

ขอบคุณสำหรับคำตอบของคุณ bmike! ความปลอดภัยเป็นความคิด - นั่นเป็นเรื่องจริงมาก ฉันจะบอกว่าคุณครอบคลุมความกังวลส่วนใหญ่ของฉัน ฉันหวังว่าอาจมีอย่างอื่นที่โผล่ขึ้นมาในคำตอบที่ฉันไม่เคยรู้มาก่อน เห็นได้ชัดว่าไม่มีอะไรจะพูด :) ขอบคุณ!

— gentmatt

@stuffe ความแข็งแรงของรหัสผ่านเพียงความยาวนั้นเป็นข้อโต้แย้งซึ่งเป็นสาเหตุที่ฉันมีทั้งรหัสผ่านที่ซับซ้อนและยาว คุณอาจสนใจคำถามนี้ใน security.stackexchange: รหัสผ่านที่ซับซ้อนสั้นหรือวลีรหัสผ่านพจนานุกรมยาว

— gentmatt

ช่องโหว่นี้ใช้หรือไม่หากเครื่องล็อคหน้าจอก่อนเข้านอน แผนภูมิที่นี่แสดงให้เห็นว่าเครื่องหน้าจอล็อคมีความปลอดภัยที่ไม่ได้นำไปใช้กับเครื่องนอน? นอกจากนี้สิ่งนี้ชี้ให้เห็นว่าเพียงแค่เปิดใช้งานการตั้งค่ารหัสผ่านเฟิร์มแวร์สามารถแก้ไขปัญหาได้

— orome

มีคนขโมยเครื่องของคุณได้ไหม นอกเหนือจากการป้องกันการเข้าถึงทางอิเล็กทรอนิกส์คุณจะต้องเก็บไว้ภายใต้ล็อคและคีย์

อย่างจริงจังในแต่ละขั้นตอนคุณจะได้รับการปรับปรุงมากที่สุดโดยครอบคลุมจุดที่อ่อนแอที่สุดแล้ว เมื่อการป้องกันซอฟต์แวร์ของคุณดีกว่าที่มีอยู่จริงการป้องกันซอฟต์แวร์ที่ดีขึ้นจะไม่มีการปรับปรุง (หรือแทบจะไม่มี)

— JRobert
แหล่งที่มา