[10.11 El Capitan] FileVault geschützten Mac mit USB-Stick entsperren

[servusli]

Hallo zusammen

Gibt es die Möglichkeit einen Mac welcher mit FileVault verschlüsselt ist, mittels USB-Stick zu entsperren?
Mittels USB-Stick könnte ich ein komplexeres Passwort setzen, da auf meinem Mac zum Teil sensible Daten sind.

Ich habe es bereits mit Rohos versucht, aber damit kann ich den Mac nach dem Booten nicht entsperren.
Was gibt es noch für Lösungen?

 

[Hendrik Ruoff]

Dann wäre FileFault ja hinfällig wenn das so einfach gehen würde?

Daher: Nein nicht möglich

 

[MacAlzenau]

Ich denke, servusli meint, daß man statt der Tastatureingabe des Passworts einen Stick mit einem längeren Passwort benutzen kann, das beim Einstecken ausgelesen wird.
Ich denke aber nicht, daß es da eine Möglichkeit gibt. Und auch nicht, daß man das braucht, außer in Agentenfilmen.

 

[Rastafari]

Mittels USB-Stick könnte ich ein komplexeres Passwort setzen

So wirkungsvoll wie ein stiller Furz im Wirbelsturm.
Dein Passwort ist entweder sicher, dann ist es gut, oder es ist es nicht, dann ändere das. Ende Gelände.

 

[Carcharoth]

Der USB-Stick wird die Sicherheit des Systems eher senken.

Nen USB-Stick muss man bloss stehlen. Das PW hingegen ist in deinem Kopf, das kriegt man nicht so leicht. Ausser vielleicht mit ner Rohrzange.

 

[Wuchtbrumme]

Es gibt von MacAfee (brr) eine Sicherheitslösung mit RSA-Token (kenne ich nur für Windows). Bequem ist aber was anderes.

 

[servusli]

Dann kann mir bestimmt jemand sagen wie ich im Anmeldebildschirm beim booten die Einstellung vornehmen kann, dass ich den Benutzername selbst eingeben muss?
Jetzt ist es so, wenn der Mac eingeschaltet wird, erscheinen in meinem Fall zB. drei verschiedene User (Benutzer, Admin, Safari-Gast).
Dort möchte ich den Benutzernamen selbst eintippen.

Das wäre dann meine Alternative.

 

[KALLT]

@servusli: Ja, das geht auch. In den Systemeinstellungen > Benutzer klickst du unten auf Anmeldeoptionen. Dort kannst du u.A. einstellen op du eine Liste mit Benutzern oder ein Eingabefenster sehen willst.

 

[Wuchtbrumme]

@servusli nein, das geht nicht - Du musst ja mit FileVault erstmal deine Bootpartition entsperren - dazu wird die Recovery Partition modifiziert, die dann einen einfachen Anmeldebildschirm anzeigt, der dann wiederum den Login an das eigentliche OS durchreicht. Und dieser Bildschirm sieht halt aus, wie er aussieht... Und bevor die Frage kommt: Daraus folgt auch, dass Du nicht mit einem Nutzer FV entsperren kannst und Dich dann am Anmeldeschirm des OS mit einem anderen Benutzer. That's the way it is. (Du kannst Dich allerdings nach erfolgter Anmeldung abmelden und neu anmelden).

Wenn Du es anders haben willst musst Du Dir die Lösung von McAfee oder PGP angucken.

Die vom Vorposter genannte Option gibt es tatsächlich; diese steht aber bei Verwendung von FileVault nicht zur Verfügung (weil es halt anders designt ist, sh. oben).

 

[Hendrik Ruoff]

Funktioniert in 10.11 dank der tollen Integrity Protektion nicht @KALLT

 

[KALLT]

Funktioniert in 10.11 dank der tollen Integrity Protektion nicht @KALLT

Was hat SIP damit zu tun? Es gibt, denke ich, keinen technischen Grund warum es nicht möglich sein sollte. Anscheinend sieht Apple schlichtweg ein alternatives Eingabeinterface im Bootloader nicht vor. Eine kurze Websuche hat ergeben, dass dies aber schon seit Lion der Fall ist (genau genommen seit FileVault 2).

@servusli: Dann geht es wohl nicht. Du suggerierst aber erneut, dass dein System dadurch sicherer wäre, aber das ist bestenfalls nur minimal. Wie Rastafari schon sagte, wenn dein Kennwort von Beginn an nichts taugt, kannst du dich nicht auf ‘security through obscurity’ verlassen; damit wiegst du dich in falscher Sicherheit. Du kannst dich im Zweifelsfall nur auf dein Kennwort verlassen.

 

[gbyte]

YubiKey?

Gruß,

GByte

P.S.: An dieser Stelle wurde über die Möglichkeiten eines YubiKey bereits diskutiert.

 

[Rastafari]

Anscheinend sieht Apple schlichtweg ein alternatives Eingabeinterface im Bootloader nicht vor.

Doch, tut es.
Das richtet sich aber nur an "Enterprise" Kunden, das findet sich nicht im Store für gewöhnliche Privatanwender.
(Einbindung von NIST-konformen SmartCard-Systemen nach ist nach Anforderung des US-DoD zwingend erforderlich, sonst dürfen Behörden in den USA sowas nicht einsetzen. Vorhanden seit der allerersten Version von OS X - und auch schon in den legendären Next-Systemen, aus der dieses hervorging. *Exzellente* Sicherheit, aber sehr, sehr, sehr teuer. Digitales Edelmetall.)

 

[servusli]

..."Enterprise" Kunden...

Hab ich das jetzt richtig verstanden, dass es von OS X unterschiedliche Versionen für Unternehmen und Privatanwender gibt?
Vergleichbar mit Windows 10 Home, Professional und Ultimate...?

 

[Rastafari]

dass es von OS X unterschiedliche Versionen für Unternehmen und Privatanwender gibt?

Nein. Aber es gibt verschiedene Arten von Support.
Für Otto Normalverbraucher (zB):
http://www.apple.com/de/shop/produc...80/applecare-für-iphone-6s-und-iphone-6s-plus

Für Unternehmen mit Rang und Namen:
http://www.apple.com/de/shop/product/D6602ZM/A/applecare-os-support-select-jahresvertrag

Für Gott:
http://www.apple.com/de/shop/product/D5690/applecare-os-support-preferred

Für die FIFA, den DFB und die Geissens:
http://www.apple.com/de/shop/product/D5691/applecare-os-support-alliance

Noch Töne?
Schon klar warum da der Kundendienst ... "etwas" ... anders abläuft, oder?
Krieg' ich sowas von dir geschenkt? Hab bald Geburtstag...

 

[FritzS]

Es gibt von MacAfee (brr) eine Sicherheitslösung mit RSA-Token (kenne ich nur für Windows). Bequem ist aber was anderes.

Ist der RSA „Master-Key“ (Seed) nicht auch schon kompromittiert worden? Ich kann mich da „leise“ an etwas im Zusammenhang mit NSA erinnern.

Mich würde da eher eine „Appel'sche“ Lösung mit der man bloß gezielt einzelne Verzeichnisse oder Dateien „transparent“ verschlüsseln könnte, interessieren. Wozu muss man denn das gesamte Filesystem verschlüsseln, wäre doch CPU Ressourenverschwendung.