geronimoTwo
Aktives Mitglied
- Dabei seit
- 13.09.2009
- Beiträge
- 9.748
- Reaktionspunkte
- 4.981
lisanet
Aktives Mitglied
- Dabei seit
- 05.12.2006
- Beiträge
- 11.055
- Reaktionspunkte
- 13.659
Ja, auf jeden Fall. Damit kannst du auch für FileVault eine 2-Faktor-Authentifizierung realisieren, zwar nicht auf Basis des von YubiKeys unterstützten Challenge-Response-Verfahrens (da das OS ja noch nicht geladen ist) aber immerhin in der folgenden Art:
Du erzeugst ein recht langes Passwort für FileVault, dessen z.B. ersten 10 Zeichen du dir merken kannst. Die weiteren z.B. 20 Zeichen, die dann ruhig sowas wie cywlajifnazgefwytubi sein dürfen, speicherst du als Passwort auf dem Yubikey.
Nun kannst du FileVault nur dann entschlüsseln, wenn du die ersten 10 Zeichen selbst eintippst und dann den Yubikey einsteckst und den Touchsensor berührst, der das restliche Passwort dann "abspielt". Über die Schulter gucken und Passwort mitlesen ist dann nicht mehr.
Wenn du das noch kombinierst mit dem Tipp von David X oder hier (http://osxdaily.com/2013/07/06/maximize-filevault-security-destroy-key-storage-standby/) per pmset das FileVault-Passwort beim Ruhezustand aus dem Speicher löschen zu lassen, hast du schon ein recht hohes Niveau erreicht.
Wenn du nun noch etwas mehr tun willst, dann installiere dir die App 'TokenLock'. Das kannst du so einstellen, dass das MacBook sofort in den Ruhezustand geht, wenn du den YubiKey abziehst. Gut der YubiKey muss dann eingesteckt bleiben, aber immerhin kannst du so kaum das aktiviert des Ruhezustandes vergessen.
Wie gesagt, der Yubikey kann mehr als nur statische Passwörter, aber durch die Teilung des Passwortes hast du ne gute 2-Faktor-Authentifzierung.
Und ein Tipp: kaufe dir nen zweiten YubiKey und speichere dort den zweiten Teil nochmals ab und hebe dir diesen YubiKey gut auf. Er ist dann deine Sicherung gegen den Verlust der ersten YubiKeys.