Apple gebruikt de naam FileVault om volledige schijfversleuteling (vaak afgekort FDE) te dekken sinds Mac OS X 10.7 Lion in 2011. Jarenlang gebruikte FileVault een lees-/schrijfintensieve encryptiemethode die veel tijd in beslag nam om eerst uw schijf te coderen en daarna de prestaties enigszins nadelig beïnvloedde, hoewel niet erg merkbaar.
In ruil daarvoor bood FileVault drie belangrijke beschermingsmaatregelen tegen fysieke toegang tot uw computer: tot en met iemand die er met je Mac vandoor gaat en alle tijd van de wereld te winnen heeft toegang.
Ten eerste was de schijf van je Mac in rust (wanneer uitgeschakeld) volledig gecodeerd. Zonder de coderingssleutels, die worden beschermd door uw accountwachtwoord, zou een aanvaller dit kunnen proberen direct inbreken of een harde schijf eruit halen (of later, Fusion Drives en SSD's), maar ze zouden volledig vergrendeld zijn uit.
Als u FileVault inschakelt, voegt u nog een krachtig beschermingsniveau toe aan het opstarten van uw Mac.
Gieterij
Ten tweede zou macOS uw schijf niet ontgrendelen voor toegang bij het opstarten zonder een geldig accountwachtwoord of een bijbehorende herstelsleutel. Eén vector die nog steeds kan worden uitgebuit, is dat als u de optie van Apple gebruikt om uw herstelsleutel in bewaring te stellen in uw Apple ID account, kan iemand die uw Apple ID-account kraakt mogelijk ook toegang krijgen tot de herstelsleutel en die van uw Mac ontgrendelen drijfveer. (Technisch gezien start je Mac, als FileVault actief is, op met recoveryOS, de kleine partitie waarmee je macOS opnieuw kunt installeren of grote problemen kunt herstellen.)
[Kunt u uw herstelsleutel niet vinden? Zien "Hoe u uw FileVault-herstelsleutel kunt vinden in macOS.” Weet u niet zeker of u een actueel exemplaar van de herstelsleutel heeft? “Is uw macOS FileVault-herstelsleutel actueel? Zo kunt u dit controleren.”]
Ten derde: zelfs nadat de schijf met succes is ontgrendeld en in macOS is opgestart, heeft iemand nog steeds de normale Mac-beveiliging om er doorheen te komen: hij heeft een accountwachtwoord nodig om in te loggen. Hoewel er af en toe exploits zijn ontdekt waarmee aanvallers het inlogscherm kunnen omzeilen, is dat doorgaans ook het geval van korte duur (omdat ze waardevol zijn op de grijze markt en vervolgens door Apple worden ontdekt en gepatcht) en niet kunnen worden geactiveerd op afstand in ieder geval. Iemand die het niet goed doet, moet zo'n exploit hebben, En je bent vergrendeld maar opgestart op de macOS-computer voor hen.
Beginnend met Intel Macs met de T2 Security-chip, heeft Apple encryptie ingebouwd op het onderste niveau van macOS: je interne opstartvolume is altijd gecodeerd en u kunt het niet uitschakelen. Dit is hetzelfde bij alle Apple Silicon Macs uit de M-serie. (Als u een extern volume gebruikt, wordt door het inschakelen van FileVault ook het volume gecodeerd, wat behoorlijk snel kan zijn met een moderne SSD.)
Voor Intel Macs met T2 en alle Macs uit de M-serie voegt FileVault alleen bescherming toe bij stap twee. Als FileVault op deze Macs is uitgeschakeld, wordt de schijf automatisch ontgrendeld wanneer u uw computer opstart en is deze na inloggen gereed voor gebruik.
Mensen hebben verschillende beveiligingsbehoeften. Als u nooit bang bent dat uw computer wordt gestolen door iemand die over een hoog niveau van hackervaardigheden kan beschikken (inclusief een overheidsinstantie), hoeft u FileVault misschien niet in te schakelen. FileVault voegt een risiconiveau toe, want als accountgegevens op de een of andere manier beschadigd zijn op het recoveryOS, moet u over uw herstelsleutel beschikken om weer toegang te krijgen tot uw Mac. (Zien "Hoe u uw Mac kunt ontgrendelen terwijl de herstelsleutel en FileVault actief zijn.”) Ik ontvang regelmatig e-mails van mensen die hun herstelsleutel niet kunnen vinden en om veiligheidsredenen de iCloud-bewaarplaats van Apple niet hebben gebruikt.
Als u er echter zeker van bent dat u een goede administratie kunt bijhouden (of de iCloud-bewaarborg kunt vertrouwen) en er zeker van wilt zijn dat een gestolen of De geopende Mac zal nooit uw privégegevens en andere geheimen prijsgeven, waardoor FileVault slechts één extra laag biedt bescherming.
Dit Mac 911-artikel is een antwoord op een vraag van Macworld-lezer Derek.
Vraag Mac911
We hebben een lijst samengesteld met de vragen die ons het vaakst worden gesteld, samen met antwoorden en links naar kolommen: lees onze superveelgestelde vragen om te zien of uw vraag er tussen staat. Zo niet, dan zijn we altijd op zoek naar nieuwe problemen om op te lossen! E-mail de jouwe naar [email protected], inclusief schermafbeeldingen indien nodig en of u wilt dat uw volledige naam wordt gebruikt. Niet elke vraag wordt beantwoord, we beantwoorden geen e-mail en we kunnen geen direct advies geven over het oplossen van problemen.