Mac OS X: FileVault- (und TimeMachine-) Verschlüsselung?

[FDW]

Hi!

Man kann seinen Home-Ordner ja per FileVault verschlüsseln. Wenn man sich mit seinem Acc anmeldet, wird der Container einfach in das System eingebunden. So weit, so gut!

Nun habe ich aber gesehen, dass man mit der Installations-DVD von Mac OS X die Passwörter von Accounts einfach zurücksetzen kann. Wird dann so auch einfach FileVault zurückgesetzt? Es wäre also nur eine Mac OS DVD nötig um ganz easy an die Daten zu kommen?

Zweite Frage: Ich habe mal gelesen, man könne das TimeMachine-Backup auch automatisch verschlüsseln. Stimmt das? Wenn ja, kann man das dann auch so einfach entschlüsseln wie FileVault?

Sicher wären die Systeme ja dann nicht wirklich. Gut, ich habe keine hoch sensiblen Firmendaten auf meinem MacBook. Aber da ich viel unterwegs bin, hätte ich schon gerne Schutz wenn das Teil - worst case - geklaut wird!

Schon mal danke für eure Antworten

EDIT: OK, TM-Verschlüsselung gibts nicht. Schade... Bleibt noch die Frage mit FileVault!

 

[KaiAmMac]

Hallo,

selbst wenn das Anmeldekennwort zurücksetzt wird sollte nach meinem Verständnis der Benutzerordner immer noch mit diesem Kennwort verschlüsselt sein. Wenn Du dieses Kennwort und das Hauptkennwort nicht kennst kommst Du schlicht nicht mehr an Deine Daten ran.

Gegen das Starten von DVD, Bootcamppartition, USB, Firewire, hilft das Firmwarekennwort, welches Du nach dem Start von der OS X Installations - DVD einrichten kannst. Nach Auswahl der Sprache die Menüleiste abwarten und dort dann Firmwarekennwort auswählen.
Dann musst allerdings auch DU das Firmwarekennwort angeben sobald Du etwas anderes starten willst als das Standardbetriebssystem - alt-Taste

KaiAmMac

 

[FDW]

Danke für die Info. Kann mir denn noch jemand bestätigen, dass das FileVault-Kennwort nicht so einfach geändert werden kann? Ist das System den generell sicher? Gibt es Lücken/Fehler oder gibt es bessere Alternativen?

 

[ternek57]

Hallo,

ich benutze jetzt schon seit einiger Zeit FileVault. Funktioniert eigentlich ganz gut, fr TimeMachine Backups muss ich mich zwar abmelden aber das ist ok. Wenn ich eine bestimmte Datei suche, die nicht mehr auf meinem Mac ist, dann kann ich auch die einzelnen Backups separat öffnen und dort suchen.

So weit ich weiß konnte ich meinen Benutzerordner auch mal mit einem Timemachine Backup wiederherstellen, ging auch recht einfach.

Aber: Als ich mittels Migrationsassistent meine Daten auf einen anderen Mac übertragen wollte, ging das nicht. Es wird wohl kein verschlüsseltes Volumen unterstützt. Weiß jemand, warum das so ist?
Und wie sicher ist denn FileVault jetzt. Ich benutze es, weil auf meinem Mac viele persönliche Daten gespeichert sind (Fotos, E-Mails, Passwörter im Schlüsselbund, Adressen). Wenn das jemand klauen sollte möchte ich eben nicht, dass das irgendwer anschaut.

Sollte ich im Falle eines Diebstahls dennoch alle Passwörter ändern oder ist da FileVault sicher genug?

Viele Grüße
Ternek

 

[detto]

Ganz ehrlich? Ich trau mich an FileVault nicht mehr ran. Der Grund ist ganz einfach, es hat einmal meine kompletten Daten gelöscht. Der iMac blieb eines Tages mit schwarzem Schirm aus dem Ruhezustand "hängen". Das einzige was noch ging war den Powerknopf halten. Nachdem er wieder hochgefahren war und ich mich angemeldet hab gabs erstmal nen Schock weil mein Dock auf Standardsettings gestellt war, alle Programme ebenso und eigentlich alles aus den Systemeinstellungen. Praktisch alles wieder resettet.
Zudem wurde die Sicherheit von FileVault schon des öfteren angezweifelt. Wenn man wirklich etwas verschlüssen muss ist meine Empfehlung ganz klar TrueCrypt.

 

[salome.p]

Wenn du googelst wirst du genügend Beschwerden, Klagen, Verzweiflungen wegen FileVault finden. Nicht nur das das System aufgebläht wird und oft beim Deaktivieren zu wenig Platz auf der Platte ist, ist die Verschlüsselung auch nicht wirklich sicher.

Sollte ich im Falle eines Diebstahls dennoch alle Passwörter ändern oder ist da FileVault sicher genug?

Wenn das Book gestohlen ist, brauchst nichts mehr zu ändern. Dann ist es weg.
Schau mal hier unten in "Ähnliche Themen", die Frage nach FileVault taucht ja immer wieder auf.
sali

 

[ternek57]

doppelt, sorry

 

[ternek57]

Zudem wurde die Sicherheit von FileVault schon des öfteren angezweifelt. Wenn man wirklich etwas verschlüssen muss ist meine Empfehlung ganz klar TrueCrypt.

Es ist mir ja bewusst, dass FileVault nicht absolut sicher ist. Es ist mir ja auch egal wenn irgendwelche Geheimdienste oder die Polizei dennoch an meine Daten kommen könnten, allerdings möchte ich eben nicht, dass jeder, der meinen Computer (gestohlen) hat, ohne Probleme alle meine persönlichen Daten auslesen kann.

Und FileVault ist irgendwie der beste Kompromiss aus Sicherheit und Bequemlichkeit. Ich mache zudem regelmäßig Backups, falls da irgendwas kaputtgeht und es sich nicht entschlüsseln lässt. Und wenn mein Book gestohlen wird könnte der Dieb ja alle meine persönlichen Daten auslesen, was ich ziemlich erschreckend finde (mal vom Verlust des Books abgesehen).

Wenn das Book gestohlen ist, brauchst nichts mehr zu ändern. Dann ist es weg.

Wenn der Mac gestohlen wird kann ich ja immernoch auf ein Backup zurückgreifen, daher die Frage, ob ihr der Verschlüsselung vertrauen oder dennoch alle Passwörter ändern würdet.

 

[Lukas the brain]

ich denke für den Otto normal User reichts aus.

Ich hätte auf jeden Fall mehr Angst, dass FV meine Daten killt.

 

[salome.p]

Eben nicht, weder für Otto noch für Hans, noch für Liesl oder Franz. Weil eben die Normalverbraucherinnen mit dem FileVault nicht zurechtkommen - Backup, Plattenwechsel und so weiter - dauernd gibt es Probleme. Und manche (viele manche, wie ich den Hilferufen entnehme) sind nicht mal imstande das Passwort ordentlich zu notieren, geschweige denn zu merken. Wer auf sein Book aufpasst und es nicht irgendwo herumliegen lässt, braucht nicht so zu tun als wäre er die Bank of America. Und Wer das Zugangspasswort knacken kann, der Böse kann vermutlich auch FileVault irgendwann überlisten.
Aber bitte, jedem Tierchen sein Pläsierchen.
Verschlüsselt, aber weint dann nicht.
salome

 

[ActiveX]

So verschlüsselst du Time Machine:

http://www.h-ein.de/howtos-und-anleitungen/verschluesselte-backups-mit-time-machine.html

 

[SonOfNyx]

Das Problem an dem "Komfort-Apsket" ist, dass das gleichzeitig auch eine riesige Sicherheitslücke ist. Betrachtet man sich das Konzept von FileVault genauer, dann sollte schnell klar werden, dass es keinen Angriff auf die Verschlüsselung selbst braucht (der recht geringe Erfolgsaussichten hat), sondern entweder "nur" einen Angriff aufs Userkennwort (was in vielen Fällen mit einem ordentlichen Dictionary "zügig" zu bewerkstelligen sein sollte) bzw. wenn man den Rechner im laufenden Betrieb bzw im gesperrten Zustand ergattern kann, ein wenig Kältespray und ein Programm zum direkten auslesen des Speichers (per default ist ja der "sichere Speicher" deaktiviert, aber selbst das aktivieren barg zumindest bei 10.4 noch Probleme, da der Key für die Verschlüsselung des Speichers dafür im Klartext vorlag) und die wunderbare AES Verschlüsselung ist beim Teufel. Der "Komfort" ist das größte Problem bei FileVault.

 

[ternek57]

Das Problem an dem "Komfort-Apsket" ist, dass das gleichzeitig auch eine riesige Sicherheitslücke ist. Betrachtet man sich das Konzept von FileVault genauer, dann sollte schnell klar werden, dass es keinen Angriff auf die Verschlüsselung selbst braucht (der recht geringe Erfolgsaussichten hat), sondern entweder "nur" einen Angriff aufs Userkennwort (was in vielen Fällen mit einem ordentlichen Dictionary "zügig" zu bewerkstelligen sein sollte) bzw. wenn man den Rechner im laufenden Betrieb bzw im gesperrten Zustand ergattern kann, ein wenig Kältespray und ein Programm zum direkten auslesen des Speichers (per default ist ja der "sichere Speicher" deaktiviert, aber selbst das aktivieren barg zumindest bei 10.4 noch Probleme, da der Key für die Verschlüsselung des Speichers dafür im Klartext vorlag) und die wunderbare AES Verschlüsselung ist beim Teufel. Der "Komfort" ist das größte Problem bei FileVault.

Sicherlich ist FileVault nicht ganz sicher, aber wer genügend Zeit und Willen mitbringt wird wohl viele Verschlüsselungen knacken können (bzw. das Kennwort).

Es ist aber doch ein Unterschied ob man mit Kältespray, Festplattenausbau und was weiß ich noch alles ankommen muss, oder ob man einfach die Install CD einlegt und das Passwort löscht bzw den Rechner per Target Firewire Modus startet.

Und vor genau diesen "Angriffen" möchte ich mich schützen, wenn mein Mac in falsche Hände gerät. Zumal darauf ein großer Teil aller meiner persönlichen Daten gespeichert sind, von Bildern über E-Mails bis zu Bewerbungen und Adressen. Ganz sensible Sachen habe ich dann nochmals in ein verschlüsseltes Image gepackt, hauptsächlich ist das aber noch aus der Zeit, als ich FileVault nicht benutzte.


Was kennt ihr denn jetzt für Alternativen zu FileVault? TrueCrypt wohl nicht, und die Dmg-Images sind auch nervig.

 

[Friek]

Wenn man File Vault mit einem anständigen Kennwort verwendet ist es imho schon sicher. Zumindest für den Privat Nutzer. Wer macht sich den schon die Mühe so etwas zu "knacken", wenn er nicht mal weiß was in dem Image ist. Und seit Leopard gibt es glaube ich auch die Probleme das sich das Image "zerschießt" nicht mehr. Grund hierfür ist unter anderem, dass das Image-Format auf .sparsebundle umgestellt wurde.

Wer auf sein Book aufpasst und es nicht irgendwo herumliegen lässt, braucht nicht so zu tun als wäre er die Bank of America.

Das sehe ich nicht so. Ein Diebstahl kann immer passieren.

Generell gilt: Der Schwachpunkt ist weniger das System, als der User. Schwache Kennwörter machen es Angreifern leicht. Bei TrueCrypt und bei FileVault.

 

[SonOfNyx]

Sicherlich ist FileVault nicht ganz sicher, aber wer genügend Zeit und Willen mitbringt wird wohl viele Verschlüsselungen knacken können (bzw. das Kennwort).

Es ist aber doch ein Unterschied ob man mit Kältespray, Festplattenausbau und was weiß ich noch alles ankommen muss, oder ob man einfach die Install CD einlegt und das Passwort löscht bzw den Rechner per Target Firewire Modus startet.

Und vor genau diesen "Angriffen" möchte ich mich schützen, wenn mein Mac in falsche Hände gerät. Zumal darauf ein großer Teil aller meiner persönlichen Daten gespeichert sind, von Bildern über E-Mails bis zu Bewerbungen und Adressen. Ganz sensible Sachen habe ich dann nochmals in ein verschlüsseltes Image gepackt, hauptsächlich ist das aber noch aus der Zeit, als ich FileVault nicht benutzte.


Was kennt ihr denn jetzt für Alternativen zu FileVault? TrueCrypt wohl nicht, und die Dmg-Images sind auch nervig.

Also wenn die Daten so wichtig sind, würde ich FileVault eigentlich ausschliessen - dazu gehen zu gerne mal alle Daten verloren. TrueCrypt wird in absehbarer Zukunft durchaus eine Alternative sein, allerdings funktioniert für meinen Geschmack noch zu wenig der Features auf Macs. PGP scheint momentan wohl eine der wenigen (und dabei leider auch kostenpflichtigen) Möglichkeiten zu sein, eine Full Disk Encryption auf einem Mac zu realisieren.

Zu den verschlüsselten Images: ich hoffe du hast das Passwort dazu nicht im Schlüsselbund gespeichert.

 

[ternek57]

Also wenn die Daten so wichtig sind, würde ich FileVault eigentlich ausschliessen - dazu gehen zu gerne mal alle Daten verloren. TrueCrypt wird in absehbarer Zukunft durchaus eine Alternative sein, allerdings funktioniert für meinen Geschmack noch zu wenig der Features auf Macs. PGP scheint momentan wohl eine der wenigen (und dabei leider auch kostenpflichtigen) Möglichkeiten zu sein, eine Full Disk Encryption auf einem Mac zu realisieren.

Zu den verschlüsselten Images: ich hoffe du hast das Passwort dazu nicht im Schlüsselbund gespeichert.

Meine Daten sind mir wichtig und deshalb mache ich Backups. Das sollte übrigens jeder machen, unabhängig davon ob man eine Verschlüsselung benutzt, ist doch selbstverständlich.

 

[SonOfNyx]

Meine Daten sind mir wichtig und deshalb mache ich Backups. Das sollte übrigens jeder machen, unabhängig davon ob man eine Verschlüsselung benutzt, ist doch selbstverständlich.

Selbstverständlich ist es selbstverständlich, allerdings verstehen das viele User nicht von selbst.

 

[quastip]

Guten Abend, bis hierhin sehr interessant. Ich habe mir mit viel Mühe über rootuser meine mit File Vault verschlüsselten Daten aus Time Machine zurück holen können. Auslöser des Datenverlusts war ein partieller Stromausfall mitten in der deutschen Hauptstadt (ja das gibt es wirklich) Nun bin ich auf der Suche nach Tips mit möglichst wenig Zeitaufwand meinen alten Zustand wieder herzustellen. Die Daten sind zwar existent und jetzt natürlich auch extern gesichert, aber sie lassen sich nicht wieder in das System einfügen. Weder mail, noch iTunes oder Notes reagieren normal.
File Vault laß ich jedenfalls erstmal File Vault sein, wenn dann alles wieder richtig läuft

 

[xentric]

Sorry, aber so kann dir keiner helfen.

Was genau geht denn jetzt nicht? So wie ich das verstanden hab, ist dein rootuser per filevault verschlüsselt, und dann gab es n crash als du unter benutzung dieses users warst?
Du schreibst:

Ich habe mir mit viel Mühe über rootuser meine mit File Vault verschlüsselten Daten aus Time Machine zurück holen können

und

File Vault laß ich jedenfalls erstmal File Vault sein, wenn dann alles wieder richtig läuft.

Irgendwie ist das für mich gegensetzlich.
Und was genau heißt:

Weder mail, noch iTunes oder Notes reagieren normal.

Starten die nicht, sind deine mails nicht da? Das kann mit filevault (Deinen Nutzerdaten) zusammenhängen, aber mit den gegeben Informationen kann das das .app kaputt sein..

 

[quastip]

Guten Abend xentric, es ist jetzt so, daß ich ein sparcebundle habe und dort auch alle meine Daten finde, die ich auch alle sichern kann. Nur kann ich sie leider nicht in meinen jetzt aktuellen Useraccount einfügen. Jedenfalls nicht in iTunes und nicht in mail und auch nicht in den Dokumenteordner. Zudem komme ich an das sparcebundle nur unter dem alten Useraccountnamen dran, obwohl der gefaked ist. Ich denke, ich werde mir morgen eine externe Platte besorgen und alles aus dem sparcebundle auf diese ziehen und dann die Kiste plätten und neu einrichten