Maximaliseer FileVault-beveiliging door sleutelopslag te vernietigen in de standby-modus

FileVault-icon De stand-bymodus is een energiebesparende functie die automatisch een Mac in de slaapstand zet nadat deze een tijdje in de slaapstand is geweest, wat de belasting van de batterij nog verder doet afnemen. Wanneer een Mac die FileVault-codering gebruikt in de standby-modus wordt geplaatst, wordt een FileVault-sleutel (ja, deze sleutel is gecodeerd) opgeslagen in EFI (firmware), zodat deze snel uit de stand-bymodus kan komen wanneer hij uit de diepe slaapstand wordt gehaald. Voor 99% van de gebruikers doet dat er nauwelijks toe en het is geen beveiligingsprobleem, maar voor degenen die zich zorgen maken over absolute maximale beveiliging en een Mac beschermen tegen ongewoon agressieve aanvallen (dwz spionageniveau), kun je OS X instellen om dat automatisch te vernietigen. FileVault-sleutel wanneer deze in de energiebesparende stand-bymodus wordt geplaatst, waardoor wordt voorkomen dat die opgeslagen sleutel een mogelijk zwak punt of aanvalsdoel is.

Door deze instelling in te schakelen, moeten FileVault-gebruikers hun FileVault-wachtwoord invoeren wanneer een Mac wordt gewekt vanuit de standby-modus, omdat de FV-sleutel niet langer wordt opgeslagen voor snel ontwaken. Dat is nauwelijks een probleem, maar het vertraagt wel het wakker worden uit de diepe slaap een beetje, en het vereist wel dat de gebruiker een extra authenticatieniveau gebruikt dat verder gaat dan de standaard vergrendelings- en inlogfuncties voordat de Mac weer bruikbaar wordt.

Verhoog FileVault-beveiliging door FileVault-sleutels te vernietigen in de standby-modus

Dit commando moet worden ingevoerd in de terminal, te vinden in / Applications / Utilities /

pmset -a destroyfvkeyonstandby 1

De vlag -a past de instelling toe op alle energiebeheerprofielen, wat betekent dat zowel de batterij als de oplader worden gebruikt.

Als u vindt dat deze functie niet nodig of frustrerend is, kunt u deze functie eenvoudig omkeren door de 1 op 0 in te stellen en de opdracht opnieuw als volgt te gebruiken:

pmset -a destroyfvkeyonstandby 0

Merk op dat afhankelijk van de actieve rechten van de gebruikersaccount, je deze beide commando's vooraf met sudo moet invoeren om ze uit te laten voeren van superuser, de commando's zouden dus als volgt zijn:

FileVault-sleutelvernietiging inschakelen

sudo pmset -a destroyfvkeyonstandby 1

vernietigen-FileVault-key-standby

Uitschakelen van FileVault-sleutel vernietigen

sudo pmset -a destroyfvkeyonstandby 0

U kunt altijd de pmset-instellingen controleren om te zien of dit momenteel is ingeschakeld of uitgeschakeld met behulp van de volgende opdracht:

pmset -g

Toegegeven, dit is een beetje technisch en een beetje extreem, en zal dus niet van toepassing zijn op de overgrote meerderheid van Mac-gebruikers. Desalniettemin, voor degenen in gevoelige beveiligingsomgevingen, diegenen die zeer gevoelige gegevens op hun computer hebben opgeslagen, of zelfs voor personen die het uiterste verlangen naar persoonlijke beveiliging, is dit een zeer waardevolle optie en moet worden overwogen als de afweging van een langzamere wektijd is het extra beveiligingsvoordeel waard.

Zoals altijd met FileVault, vergeet dan niet het wachtwoord, anders zal alle inhoud op de Mac permanent ontoegankelijk worden omdat het coderingsniveau zo sterk is dat vrijwel niets het in een menselijke tijdschaal zou kunnen overwinnen. Als FileVault nieuw is en het concept van volledige schijfversleuteling bevat, moet u ervoor zorgen dat u het goed instelt en de FileVault-herstelsleutel nooit verliest.

Voor veel meer technische informatie over dit onderwerp heeft Apple een uitstekende FileVault-implementatiegids beschikbaar in PDF-indeling.