Apple 自從使用 FileVault 名稱來涵蓋全碟加密(通常縮寫為 FDE)以來 Mac OS X 10.7 Lion 早在 2011 年。多年來,FileVault 使用讀取/寫入密集型加密方法,該方法需要很長時間才能首次加密您的驅動器,此後會對效能產生輕微影響,儘管不是很明顯。
作為交換,FileVault 提供了三項重要的保護措施,防止對您的電腦進行物理訪問,包括有人帶著您的電腦逃跑。 Mac 並且擁有世界上所有的時間來獲得訪問權限。
首先,在休息時(斷電時),您的 Mac的驅動器已完全加密。 如果沒有受帳戶密碼保護的加密金鑰,攻擊者可能會嘗試直接闖入或提取硬碟(或更高版本的 Fusion Drive 和 SSD),但它們將被完全鎖定。
啟用 FileVault 為您的檔案添加了更強大的保護級別 Mac 啟動。
鑄造廠
其次,如果沒有有效的帳戶密碼或關聯的恢復金鑰,macOS 不會在啟動時解鎖您的磁碟機以進行存取。 仍然可以利用的一個向量是,如果您使用 Apple的選項,將您的恢復金鑰託管在您的 Apple ID帳號,有人破解你的 Apple ID 帳戶也有可能獲得恢復金鑰並解鎖您的 Mac的驅動器。 (從技術上講,當 FileVault 處於活動狀態時,您的 Mac 使用 recoveryOS 啟動,這個小分割區還可以幫助您重新安裝 macOS 或從大問題中恢復。)
[Can’t find your Recovery Key? See “How to find your FileVault recovery key in macOS.” Not sure if you have a current copy of the Recovery Key? “Is your macOS FileVault Recovery Key current? Here’s how to check.”]
第三,即使在成功解鎖驅動器並啟動到 macOS 後,有人仍然可以正常使用 Mac 安全性:他們需要帳戶密碼才能登入。雖然偶爾會發現一些漏洞可以讓攻擊者繞過登入畫面,但它們通常是短暫的,因為它們在灰色市場上很有價值,然後由 Apple——並且在任何情況下都無法遠端觸發。 一個無所事事的人必須有這樣的漏洞,並且你在他們面前鎖定但啟動了 macOS 電腦。
從配備 T2 安全晶片的 Intel Mac 開始, Apple macOS 底層內建加密:您的啟動內部磁碟區始終加密,並且無法將其關閉。 所有M系列都是如此 Apple 矽 Mac。 (如果您使用外部磁碟區,則啟用 FileVault 也會加密該磁碟區,這對於現代 SSD 來說可能相當快。)
對於配備 T2 的 Intel Mac 和所有 M 系列 Mac,FileVault 僅在第二步驟新增保護。 在這些 Mac 上停用 FileVault 後,當您啟動電腦時,磁碟機會自動解鎖並可透過登入使用。
人們有不同的安全需求。 如果您從不擔心您的電腦會被任何擁有高水準駭客技能的人(包括政府機構)竊取,那麼也許您不需要啟用 FileVault。 FileVault 增加了一定程度的風險,因為如果帳戶資料在恢復作業系統上以某種方式損壞,您必須擁有恢復金鑰才能恢復到您的帳戶 Mac。 (請參閱「如何解鎖您的 Mac 其恢復密鑰和 FileVault 處於活動狀態。」)我定期收到來自找不到恢復密鑰且未使用恢復密鑰的用戶的電子郵件 Apple出於安全原因,iCloud 託管。
但是,如果您確定可以保持良好的記錄(或信任 iCloud 託管)並希望確保被盜或被訪問 Mac 永遠不會放棄您的私人資料和其他秘密,啟用 FileVault 只是多了一層保護。
這 Mac 911 文章是對 Macworld 讀者 Derek 提出的問題的回應。
問 Mac 911
我們整理了最常被問到的問題列表,以及答案和專欄連結:閱讀我們的超級常見問題解答,看看您的問題是否已涵蓋。 如果沒有,我們總是在尋找新的問題來解決! 將您的資訊透過電子郵件發送至 [email protected],包括適當的螢幕截圖以及您是否希望使用您的全名。 並非所有問題都會得到解答,我們不會回覆電子郵件,也無法提供直接的故障排除建議。
