Maximice la seguridad de FileVault destruyendo el almacenamiento de claves en modo de espera
El modo de espera es una función de ahorro de energía que hiberna automáticamente una Mac después de haber estado en modo de suspensión durante un tiempo, lo que reduce aún más el consumo de batería. Cuando una Mac que usa el cifrado FileVault se coloca en modo de espera, se almacena una clave de FileVault (sí, esta clave está cifrada) en EFI (firmware) para que pueda salir rápidamente del modo de espera cuando se despierta de la suspensión profunda. Para el 99% de los usuarios, esto apenas importa y no es un problema de seguridad, pero para aquellos que están preocupados por la máxima seguridad absoluta y la protección de una Mac de ataques inusualmente agresivos (por ejemplo, nivel de espionaje), puede configurar OS X para que destruya automáticamente este FileVault. clave cuando se coloca en modo de espera para ahorrar energía, evitando que la clave almacenada sea un punto débil potencial o un objetivo de ataque.
Habilitar esta configuración requiere que los usuarios de FileVault ingresen la contraseña de FileVault cuando una Mac se despierta desde el modo de espera porque la clave PV ya no se almacena para una activación rápida. No es un inconveniente, pero ralentiza el despertar del sueño profundo y requiere que el usuario se involucre en un nivel adicional de autenticación más allá de las funciones estándar de bloqueo y conexión antes de que la Mac vuelva a ser utilizable.
Aumente la seguridad de FileVault destruyendo las claves de FileVault en modo de espera
Este comando debe ingresarse en el terminal, ubicado en / Aplicaciones / Utilidades /
pmset -a destroyfvkeyonstandby 1
La bandera -a aplica la configuración de todos los perfiles de energía, es decir, tanto la batería como el cargador.
Si cree que esta función es innecesaria o frustrante, puede revertirla fácilmente configurando 1 en 0 y usando el comando nuevamente de la siguiente manera:
pmset -a destroyfvkeyonstandby 0
Tenga en cuenta que, dependiendo de los privilegios de la cuenta de usuario activa, es posible que deba anteponer ambos comandos con sudo para que se ejecuten desde el superusuario, por lo que los comandos serían los siguientes:
Habilitar la destrucción de claves de FileVault
sudo pmset -a destroyfvkeyonstandby 1
Deshabilitar la destrucción de la clave FileVault
sudo pmset -a destroyfvkeyonstandby 0
Siempre puede verificar la configuración de pmset para ver si está activado o desactivado actualmente con el siguiente comando:
pmset -g
Por supuesto, esto es un poco técnico y un poco extremo y, por lo tanto, no se aplicará a la gran mayoría de usuarios de Mac. Sin embargo, para aquellos en entornos de seguridad sensibles, aquellos que tienen datos altamente sensibles almacenados en sus computadoras, o incluso para las personas que desean la máxima seguridad personal, esta es una opción muy valiosa y debe considerarse si comprometer el tiempo de vigilia merece el beneficio adicional de la seguridad .
Como siempre con FileVault, no olvides tu contraseña, de lo contrario todo el contenido de tu Mac será permanentemente inaccesible, porque el nivel de cifrado es tan fuerte que prácticamente nada podría superarlo en un tiempo humano. Si es nuevo en FileVault y el concepto de cifrado de disco completo, asegúrese de configurarlo correctamente y nunca pierda su clave de recuperación de FileVault.
Para obtener más información técnica sobre este tema, Apple tiene una excelente guía de implementación de FileVault disponible en formato PDF.