Das "sichere" MacBook?

iPhreaky · 02.08.08

Rastafari schrieb:
Im Gegenteil, davor wird abgeraten.
Hast du schon mal versucht, Ä Ö Ü ß auf einem auf US-Englisch eingestellten Keyboard einzugeben?
Es wird nicht möglich sein --> ausgesperrt.

Kluge Menschen verwenden für Kennworte immer nur reine ASCII-Zeichen, sonst nichts.
Auch Leerzeichen und Tabs sind Tabu, ebenso wie alle Zeichen, die unter bestimmten Situationen eine Sonderbedeutung haben, wie / \ * ? { } [ ] ( ) $ & " < > : ;
Also bleiben dir nur grosse und kleine Buchstaben sowie Ziffern.
Und das genügt auch völlig, wenn sie fleissig gemischt werden und das daraus gebildete Kennwort ausreichend lang ist. Keine Bange.

Guter Tipp, vielen Dank!

Zeisel · 02.08.08

Ich würde ein Firmware-Kennwort vergeben (booten von der System-DVD, dann das Dienstprogramm Firmware-Kennwort aufrufen), dann kann ohne dieses einzugeben nicht mehr von einem anderem Medium (auch nicht der System-DVD) gebootet und die Benutzer-Kennwörter zurückgesetzt werden.

Vor dem Auslesen der Daten bist Du allerdings nur dann geschützt, wenn Du FileVault oder eine Festplattenverschlüsselung vornimmst. Beachte bei FileVault allerdings das dann andere Vorgehen der Time Machine, diese sichert beim Ausschalten des Rechners dann das ganze Image, dadurch ist das Backup dann gleichfalls geschützt.

Achtung: Wenn Du ein Hauptkennwort für den Rechner vergeben hast (das ist NICHT das Firmware-Kennwort), dann kann mit diesem der Schutz aller FileVault-Accounts aufgehoben werden.

In Deinem Fall würde ich einen FileVault-Account ohne Sicherheitsnetz verwenden, dann sind auch gleich alle privaten Daten geschützt. Eine Alternative wäre ein verschlüsseltes Image für die sensiblen Daten.

Wenn Du sicher ins Internet willst, verwende WPA2-Verschlüsselung und deaktiviere Java-Script. Das Verschleiern der eigenen IP dient ja nicht der Sicherheit, sondern nur dem Entgehen der Datenspeicherung (wo bin ich wann gewesen), ist meiner Meinung nach also ein anderes Thema und nicht direkt Sicherheitsrelevant.

Wichtig ist in diesem Zusammenhang auch der Schutz des Routers vor Fremdzugriff, daher diesen auch mit einem sicheren Kennwort schützen und dieses optimaler weise nach jedem Einloggen (administrativer Zugriff) ändern (so oft macht man das ja nicht). Es werden immer öfter Router gehackt, dann hast Du kaum eine Chance, eine Gefälschte Internet-Seite zu identifizieren, und vor allem kannst Du zur Zeit nicht feststellen, ob Dein Router überhaupt infiziert oder sauber ist - daher gar nicht erst soweit kommen lassen. Bei einer Internetverbindung über fremde Router (öffentliche Netze) ist grundsätzlich Vorsicht geboten.

Rastafari · 02.08.08

Zeisel schrieb:
In Deinem Fall würde ich einen FileVault-Account ohne Sicherheitsnetz verwenden...

Wünsche viel Vergnügen beim Versuch, das so einzurichten.
Beim Anlegen des allerersten File-Fault Kontos wird vorher die Vergabe des Hauptkennworts erzwungen.

Zeisel · 02.08.08

OK, habe ich auch noch nicht probiert, wieder etwas dazugelernt...

(und oben geändert)

SilentCry · 02.08.08

Zeisel schrieb:
Ich würde ein Firmware-Kennwort vergeben (booten von der System-DVD, dann das Dienstprogramm Firmware-Kennwort aufrufen), dann kann ohne dieses einzugeben nicht mehr von einem anderem Medium (auch nicht der System-DVD) gebootet und die Benutzer-Kennwörter zurückgesetzt werden.

Das Firmwarepasswort ist ein guter Indikator für Manipulation. Aber jeder, der einen RAM-Riegel austauschen und ein PRAM-RESET erzwingen kann kann es aushebeln.
Man sollte es allerdings unbedingt setzen (wegen des Firewire-Bugs).

Wenn Du sicher ins Internet willst, verwende WEP2-Verschlüsselung und deaktiviere Java-Script.

WPA2

Zeisel · 03.08.08

SilentCry schrieb:
WPA2

Ups - danke :eek:

MacMark · 03.08.08

SilentCry schrieb:
Und offensichtlich hat es einige schwere Probleme wenn Apple so panische Angst davor hat, wenn darüber berichtet werden soll, welche Schwachstellen es hat: klick

Der größte Kunde von ihm ist Apple. Seine Verträge mit Apple verbieten das Ausplaudern von Interna.

Edge should absolutely honor any legal agreements he signed with Apple, which he says is his biggest client.

http://blog.washingtonpost.com/securityfix/2008/07/black_hat_talk_on_apple_encryp.html?nav=rss_blog

Wäre schön, wenn heise seine Quellen selbst lesen würde und die wichtigsten Sätze nicht vergäße.

MacMark · 03.08.08

SilentCry schrieb:
Das Firmwarepasswort … Man sollte es allerdings unbedingt setzen (wegen des Firewire-Bugs).…

Firewire-Bug? Direkter Speicherzugriff für Firewiregeräte ist kein Bug, sondern so gewünscht und entworfen bei Firewire. Entlastet die normale CPU und bringt Geschwindigkeit.

Luft in den Lungen beim Atmen ist auch kein Bug.

SilentCry · 03.08.08

MacMark schrieb:
Der größte Kunde von ihm ist Apple. Seine Verträge mit Apple verbieten das Ausplaudern von Interna.

Ich habe beruflich mit NDAs zu tun. Es ist kein besonderes Problem für einen Vortrag oder dgl. eine entsprechende Ausnahme zu erwirken.

Wäre schön, wenn heise seine Quellen selbst lesen würde und die wichtigsten Sätze nicht vergäße.

Das habe ich wohl gelesen.

MacMark schrieb:
Firewire-Bug? Direkter Speicherzugriff für Firewiregeräte ist kein Bug, sondern so gewünscht und entworfen bei Firewire. Entlastet die normale CPU und bringt Geschwindigkeit.

Darüber kann man vermutlich streiten. USB-DMA geht auch und kann nicht zum Auslesen des kompletten Speichers eines laufenden Rechners verwendet werden. Meiner Meinung nach ist das bei der Firewiresepzifikation ein Bug. Einer übrigens den das Setzen des OF-PWDs ausmerzt. Apropos Bug: KLICK (Den Link zur CCC-Konferenz finde ich auf die Schnelle nicht, wo sie beschreiben, wie das in OS X ist.)

Luft in den Lungen beim Atmen ist auch kein Bug.

Zuviel Luft nennt man Hyperventilation ist ist wohl ein Bug :.)

MacMark · 04.08.08

SilentCry schrieb:
Ich habe beruflich mit NDAs zu tun. Es ist kein besonderes Problem für einen Vortrag oder dgl. eine entsprechende Ausnahme zu erwirken.

Edge kann ja seinen Vertrag mit Apple gleich kündigen und wieder Zeitungen austragen, wenn er den Vertrag mit seinem größten Kunden bricht. Ich glaube, Apple möchte den Fehler erst fixen, bevor ein von Apple beauftragter Sicherheits-Experte sein Ergebnis auch dem Rest der Welt vorstellt.

SilentCry schrieb:
... USB-DMA geht auch ...

Ist bei USB aber nicht Kern der Funktionsweise. USB ist relativ dumm in dem Sinne, daß Firewire vieles selbst kann ohne CPU, USB nicht.

SilentCry · 04.08.08

MacMark schrieb:
Edge kann ja seinen Vertrag mit Apple gleich kündigen und wieder Zeitungen austragen, wenn er den Vertrag mit seinem größten Kunden bricht.

So sehr ich Dich auch schätze, aber das ist mir jetzt einen Tick zu extrem. Ich sprach von einer vernünftigen Ausnahmeregel zum bestehenden NDA. Nicht von einem Vertragsbruch und auch nicht davon, dass Edge gleich anfangen soll, Zeitungen auszutragen.

Ich glaube, Apple möchte den Fehler erst fixen, bevor ein von Apple beauftragter Sicherheits-Experte sein Ergebnis auch dem Rest der Welt vorstellt.

Das kann ich mir vorstellen. Dass auf der anderen Seite ein sehr schlechtes Bild erzeugt wird, wenn Apple "security by obscurity" fördert, muss auch Apple klar gewesen sein.
Dumm nur dass Edge offenbar niemandem in der Szene so vertraut, dass er ihn als "Strohmann" einsetzen kann um die Nutzer doch noch aufzuklären welcher gravierende Bug da vielleicht vorhanden ist.

Ist bei USB aber nicht Kern der Funktionsweise. USB ist relativ dumm in dem Sinne, daß Firewire vieles selbst kann ohne CPU, USB nicht.

Ja. Kein Widerspruch. Es wird wahrscheinlich auf eine philosophische Diskussion hinauslaufen aber ich bin ganz klar der Meinung dass eine "Funktion", die das Auslesen des kompletten Speicherinhalts erlaubt ohne dass eine Sicherung dagegen - also gegen den Willen des Anwenders - besteht, ein Bug ist.

Witter · 04.08.08

Bringt die Trennung von Benutzer und Administrator wirklich etwas? wenn ja, was?
Ist dies nicht egal, da bei beiden immer nach dem Kennwort gefragt wird?

Witter

Rastafari · 04.08.08

Witter schrieb:
Bringt die Trennung von Benutzer und Administrator wirklich etwas?

Ja.

wenn ja, was?

Deutlich mehr als einen schlanken Fuss. Beispielsweise die Erkenntnis, dass Foren Suchfunktionen haben. Wurde schon millionenfach diskutiert.

Ist dies nicht egal, da bei beiden immer nach dem Kennwort gefragt wird?

Nein, ist es nicht.

MacMark · 04.08.08

Witter schrieb:
Bringt die Trennung von Benutzer und Administrator wirklich etwas? wenn ja, was?
Ist dies nicht egal, da bei beiden immer nach dem Kennwort gefragt wird?

Witter

Ein Schädling unter einem User der Admin-Gruppe kann /Applications und /Library ändern. Unter einem normalen User könnte er das nicht und müßte eine Authentifizierung durch einen Admin einholen.

Zweiblum · 05.08.08

J@n:
Hast du mal über die Verwendung von TrueCrypt zur Verschlüsselung deiner sensiblen Daten nachgedacht? Ich könnte mir vorstellen, dass du damit einen guten Kompromiss hinsichtlich dem Verhältnis Komfort/Sicherheit hin bekommst.

iron_mike · 05.08.08

Zweiblum schrieb:
J@n:
Hast du mal über die Verwendung von TrueCrypt zur Verschlüsselung deiner sensiblen Daten nachgedacht? Ich könnte mir vorstellen, dass du damit einen guten Kompromiss hinsichtlich dem Verhältnis Komfort/Sicherheit hin bekommst.

Aber damit wäre die Trennung von User und Admin nicht möglich. Zumidest bei mir kann ich TrueCrypt nur als Admin benutzen.

SilentCry · 05.08.08

iron_mike schrieb:
Aber damit wäre die Trennung von User und Admin nicht möglich. Zumidest bei mir kann ich TrueCrypt nur als Admin benutzen.

Kann das wer bestätigen? Das wäre ja wieder ein GAU...

Zweiblum · 05.08.08

Auf meinem Linux-System fragt TC vor dem ersten Mounten eines Containers nach dem Root-Passwort. Auf meinen Macs wollte TC das noch nicht wissen, kann aber sein, das ich mit den "falschen" Rechten unterwegs bin. Ich versuch das mal abzuklären.

iron_mike · 05.08.08

Ich erhalte folgende Meldung nach eingabe des Passworts wenn ich ohne Admin-Rechte ein Volume auswählen will:

Peter/Peet · 22.08.08

Rastafari schrieb:
...
Hast du schon mal versucht, Ä Ö Ü ß auf einem auf US-Englisch eingestellten Keyboard einzugeben?
Es wird nicht möglich sein --> ausgesperrt.

Kluge Menschen verwenden für Kennworte immer nur reine ASCII-Zeichen, sonst nichts.
Auch Leerzeichen und Tabs sind Tabu, ebenso wie alle Zeichen, die unter bestimmten Situationen eine Sonderbedeutung haben, wie / \ * ? { } [ ] ( ) $ & " < > : ;
Also bleiben dir nur grosse und kleine Buchstaben sowie Ziffern.
Und das genügt auch völlig, wenn sie fleissig gemischt werden und das daraus gebildete Kennwort ausreichend lang ist. Keine Bange.

Hallo,

also ich packe in wirklich wichtige Passwörter gern einen oder mehrere Punkte mit rein. Den kann man auf jeder Tastatur eingeben und ist auch immer eindeutig.

LG, Peter.

Das "sichere" MacBook?

Wilstedter Apfel

Spätblühender Taffetapfe

deaktivierter Benutzer

Spätblühender Taffetapfe

deaktivierter Benutzer

Spätblühender Taffetapfe

Jakob Lebel

Jakob Lebel

deaktivierter Benutzer

Jakob Lebel

deaktivierter Benutzer

Ingrid Marie

deaktivierter Benutzer

Jakob Lebel

Zabergäurenette

Boskoop

deaktivierter Benutzer

Zabergäurenette

Boskoop

Anhänge

Empire

Wir schützen Ihre Privatsphäre

Informationen auf einem Gerät speichern und/oder abrufen

Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen (Optionale Cookies)

Datenübermittlung an Partner in anderen Staaten (Drittanbieter-Cookies)