Какое поведение пользователя необходимо для обеспечения максимальной безопасности Filevault 2?

Ситуация: Filevault 2 пароли могут быть украдены

Passware выпустила Passware Kit Forensic 11.3, которая способна украсть пароль FileVault 2 из ОЗУ, выполнив атаку DMA через порт FireWire.

Они утверждают, что их программное обеспечение:

• восстанавливает пароли пользователей Mac и ключи FileVault из памяти компьютера и
• расшифровывает тома TrueCrypt и FileVault за считанные минуты.

Различные предложения были сделаны, чтобы описать, как защитить Mac с Filevault 2 от такой атаки:

sudo pmset -a destroyfvkeyonstandby 1 hibernatemode 25

Это удалит полный ключ шифрования тома из ОЗУ, когда система переведена в спящий режим, и вынудит систему немедленно записать ОЗУ на диск и отключить питание из памяти во время сна.

Вопрос:

Какое поведение пользователя необходимо и какие шаги необходимо предпринять для максимальной защиты с помощью FileVault 2 на Mac?

В вашем вопросе содержится самая важная информация, необходимая для защиты компьютера от мотивированной атаки, чтобы скомпрометировать том Mac с защитой FileVault 2.

1. Не подключайте FireWire к устройству, которому вы не доверяете или которому не можете доверять, когда вы вошли в учетную запись с активными ключами хранилища файлов.
2. Выберите хорошие одноразовые пароли, чтобы уменьшить вероятность других компромиссов, ухудшающих безопасность вашего пароля FileVault.
3. Обновитесь до 10.7.3 и проверьте sudo pmset -a destroyfvkeyonstandby 1 hibernatemode 25настройки управления питанием, которые заставляют режим гибернации защищать ваши ключи от компрометации, когда устройство обычно «спит»

Я следую за Ричем Траутоном, чтобы быть в курсе событий в его блоге, чтобы получить хороший комментарий по обеспечению безопасности Mac. Сочетание актуальных тем с опытом системного администратора в реальном мире делает его написание очень ценным для меня.

Суть проблемы - ваш анализ. Какое поведение пользователя необходимо для обеспечения безопасности. Мне всегда нравится думать о безопасности как о мышлении и постоянной попытке планировать, осуществлять, измерять и адаптировать. Безопасность - это не то, что вы покупаете или что-то, что вы «настраиваете», и обучение пользователей фактически не разглашать пароль, который они использовали для хранения своей фразы разблокировки, является самой слабой частью уровня безопасности FileVault. Отказ от повторного использования этого пароля - наличие системы, в которой ваши пользователи понимают, почему их пароль цепочки для ключей должен быть уникальным и безопасным, намного, намного сложнее и занимает гораздо больше времени, чем первоначальная настройка плана внедрения хранилища файлов. Желаем удачи в ваших поисках безопасности!

Может ли кто-нибудь украсть вашу машину? Помимо предотвращения электронного доступа, вы должны держать его под замком.

Серьезно, на каждом этапе вы получаете наибольшее улучшение, покрывая самое слабое место; если ваши программные средства защиты лучше, чем физические, улучшенные средства защиты программного обеспечения не добавляют (или почти не улучшают).