Wie sicher ist Time Machine / FileVault / Dropbox / Google?

6996
bastibe

In letzter Zeit habe ich mich etwas mit der Sicherheit meines Computers beschäftigt. Nicht, dass ich tatsächlich etwas zu verbergen hatte, aber ich möchte nicht, dass jemand meine Daten stiehlt.

Also habe ich FileVault in OSX eingerichtet, wodurch alle meine Daten mit minimalem Aufwand effektiv verschlüsselt werden. Das Passwort ist auf etwas festgelegt, was nur ich weiß, und das Systempasswort ist etwas gleich starkes und sicheres. Das Systemkennwort kann jedoch mithilfe der Installationsdiskette zurückgesetzt werden. Daher ist es ziemlich sinnlos, sich zu sehr darauf zu konzentrieren. Wissen Sie, ob durch das Zurücksetzen des Systemkennworts Zugriff auf das FileVault-Kennwort gewährt wird? Dies würde FileVault grundsätzlich unbrauchbar machen.

Zusätzlich brauche ich eine Backup-Lösung, also setze ich Time Machine und Dropbox ein. Nun meine Frage: Das Passwort für das Dropbox-Konto wird im Browser meines Windows 7-Computers und der Dropbox-App auf meinem iPhone gespeichert. Beide sind kennwortgeschützt und verfügen nicht über tatsächliche Kopien meiner Dateien. Ich bin jedoch der Meinung, dass dies die schwächsten Links in meiner Datensicherheit sind.

Denken Sie, dass es eine einfache Möglichkeit gibt, dieses Setup zu verbessern? Oder denkst du ich bin das schon ziemlich obsessiv?

6
Als Randbemerkung: Time Machine sichert Ihren FileVault-Ordner nur, wenn Sie sich abmelden. http://support.apple.com/kb/HT3446 - Sie können FileVault aktivieren, um Daten zu verschlüsseln, die in Ihrem Basisverzeichnis gespeichert sind. Diese Daten werden bei der Sicherung ebenfalls verschlüsselt. [..] Wenn Sie FileVault verwenden, können Sie keine einzelnen Dateien in Ihrem Heimatverzeichnis über den Time Machine-Browser wiederherstellen. Sie können jedoch alle Dateien und Ordner mit der Funktion Restore System from Backup des Mac OS X-Installationsprogramms wiederherstellen. Wichtig: Time Machine führt nur dann Sicherungen durch, wenn Sie von Ihrem FileVault-geschützten Konto abgemeldet werden. Arjan vor 15 Jahren 1

5 Antworten auf die Frage

5
TFM

Eine Drittanbieterlösung wie Dropbox sollte immer als unsicher angesehen werden, da Sie Ihre Daten in den Händen eines Unternehmens lassen, das Sie nicht "sehen oder berühren" können. Solche Unternehmen könnten nach den Gesetzen eines anderen Landes tätig sein, das anders erlaubt / verbietet als das Land, in dem Sie leben, und daher rechtliche Schritte im Falle eines Missbrauchs nahezu unmöglich machen.

Außerdem werden Unternehmen verkauft und gekauft. Ein seriöser Anbieter, der eine Online-Lösung anbietet, kann gekauft werden, und die Daten können in die Hände von Menschen gelangen, deren Hauptzweck mit diesem Handel die Chance nutzt.

Ich versuche nicht zu sagen, dass Sie paranoid sein sollten, aber nutzen Sie Ihren gesunden Menschenverstand, wenn Sie einen Anbieter für Online-Backup / Dateispeicherung wählen. Google den Namen des Unternehmens, Berichte über den Dienst lesen usw.

Dieser Kommentar ist wirklich schlecht informiert. DropBox verwendet Verschlüsselung und Amazon S3, damit Sie weiterhin auf Ihre Dateien zugreifen können. Siehe auch den Paperflyer-Kommentar oben. Mike McQuaid vor 14 Jahren 0
Nun ja, sagt DropBox. Solange ich keine Verschlüsselung auf dem Server überprüfen kann, betrachte ich alle Online-Backups als "unsicher". TFM vor 14 Jahren 1
5
Gordon Davisson

Ich bin nicht sicher, was Sie mit "Systemkennwort" meinen. Wenn Sie über das Kennwort eines Administratorkontos oder sogar über root sprechen, ist dies kein Problem. Die FileVault-Sicherheit ist völlig unabhängig von der allgemeinen Betriebssystemsicherheit (mit einer Ausnahme: Wenn jemand die Box umstürzt, so etwas wie einen Keylogger installiert, dann gibt er ihn an Sie zurück und erfasst Ihr FV-Kennwort, wenn Sie sich anmelden ...).

OTOH, wenn das "Systemkennwort", von dem Sie sprechen, das ist, was die Sicherheitseinstellungen "Hauptkennwort" nennen, dann hat jeder, der es vermutet, eine einfache Hintertür in Ihrem FV. Sie kann jedoch nicht mit der Installations-CD oder einer anderen Methode zurückgesetzt werden. Das ist also keine wirkliche Sorge.

Nun zur Backup-Sicherheit: Time Machine ist kein Problem (mit der Einschränkung, dass Arjan erwähnt hat, dass Ihr Konto nicht gesichert werden kann, wenn Sie angemeldet sind), da die verschlüsselten Daten gesichert werden, sodass im Wesentlichen die gleiche Sicherheit gewährleistet ist das FV selbst hat. Beim Wiederherstellen gibt es geringfügige Belästigungen, da die glatte Wiederherstellungsschnittstelle von TM nicht in die gesicherten FVs sehen kann. Daher müssen Sie das gesicherte Image manuell mounten und es dann manuell durchziehen. (Ok, noch eine kleine Qualifikation: Da Time Machine mehrere Versionen der verschlüsselten Daten speichert, kann es möglich sein, etwas über die Vorgänge in FV zu erzählen, indem Sie sich ansehen, wie sich die verschlüsselte Version ändert. Ich habe noch nicht gesehen, dass jemand analysiert hat FV für seinen Widerstand gegen diese Art von Angriff.)

TFM hat grundsätzlich Recht auf Backups, auf die Sie keine Kontrolle haben, wenn Sie die unverschlüsselte Version Ihrer Dateien sichern. Wenn Sie die FV-verschlüsselte Version sichern, befinden Sie sich wieder in derselben Situation wie mit TM: Sie ist (meistens) automatisch sicher, aber Sie haben den Ärger, nur beim Abmelden sichern zu können, und Wenn Sie alles wiederherstellen, müssen Sie einen vollständigen Schnappschuss des FV-Images herunterladen, manuell einhängen usw.

Ich würde empfehlen, ein Programm zu suchen, das für die verschlüsselte Online-Sicherung entwickelt wurde. Wenn Sie dies richtig machen, werden alle Daten verschlüsselt, bevor Sie Ihren Computer verlassen (Sie sind also nicht auf die Sicherheit des Repositorys angewiesen) und lassen sich trotzdem problemlos wiederherstellen. Leider habe ich nicht die nötigen Nachforschungen angestellt, um eine bestimmte Lösung empfehlen zu können, die "es richtig macht" (und ich bin sicher, dass es viele gibt, die es falsch machen).

Dropbox-Informationen: * Die gesamte Übertragung von Datei- und Metadaten erfolgt über einen verschlüsselten Kanal (SSL). * Alle auf Dropbox-Servern gespeicherten Dateien sind verschlüsselt (AES-256) und ohne Ihr Kennwort nicht zugänglich. * Dropbox-Mitarbeiter dürfen niemals auf Benutzerdateien zugreifen. Bei der Problembehandlung für ein Konto haben sie nur Zugriff auf Dateimetadaten (Dateinamen, Dateigrößen, usw., nicht der Dateiinhalt) Das klingt vernünftig. Die Frage ist wahrscheinlich, ob mein PC die Verschlüsselung übernimmt oder ob dies online geschieht. bastibe vor 15 Jahren 0
Wie kann man den Kommentar von Dropbox überprüfen? TFM vor 14 Jahren 1
Besser noch, eine Möglichkeit, zu überprüfen, ob Ihre Daten vor staatlichen Inspektionen geschützt sind? Everett vor 13 Jahren 0
@Everett angesichts der Existenz von [National Security Letters] (http://en.wikipedia.org/wiki/National_Security_Letter), ich bin mir ziemlich sicher, dass die Antwort darauf "Nein" lautet. Und andere Länder (als die USA) sind manchmal sogar noch schlimmer ... Auch wenn ich persönlich nicht erwarte, das Ziel einer nationalen Sicherheits- oder gar strafrechtlichen Ermittlungen zu sein, ist die Idee, dass jemand anderes Verschlüsselungsschlüssel für * meine * Daten hält, einfach nur einfach macht mich nervös. Gordon Davisson vor 13 Jahren 0
2

Ich weiß etwas über die Sicherheit von DropBox. Die Daten werden verschlüsselt auf S3, aber DropBox hält die Verschlüsselungsschlüssel, nicht Sie. (also könnten sie schnüffeln, wenn sie geneigt sind). Wenn Sie die Tasten halten möchten, benötigen Sie JungleDisk oder ähnliches. Natürlich gibt es einen Nachteil, wenn Sie die Schlüssel auf Ihrer Seite haben. Wenn Sie sie verlieren, sind Sie geschraubt.

2
RobPaller

Ich würde vorschlagen, wenn Sie DropBox zum Speichern von vertraulichen Informationen in der Cloud verwenden möchten, wenn Sie ein TrueCrypt-Volume / einen Ordner in Ihrer DropBox erstellen. Es gibt Anweisungen in DropBox, wie das geht. Tatsächlich sind DropBox in den Online-Medien von Sicherheitslücken geplagt, und es gibt viele Blogs / Artikel über die Verwendung von TrueCrypt mit DropBox, die bei Google einen hohen Rang einnehmen sollten. (Lifehacker hat kürzlich darüber gebloggt.)

1
vanilla

Der einzige Service seit 2007, von dem ich weiß, wo Sie sich darauf verlassen können, dass eine Datenverletzung nicht in Frage kommt, ist keine Ihrer Daten. Spideroak.com Review unter http://freelanceswitch.com/general/backup-your-computer-spideroak -review / erklärt:

"Sicherlich bietet jeder Sicherungsdienst verschlüsselte Sicherungen, aber SpiderOak geht mit seiner Zero-Knowledge-Datenschutzrichtlinie noch einen Schritt weiter. Das bedeutet, dass Ihre Dateien sogar von Mitarbeitern von SpiderOak verschlüsselt werden." Und von allen anderen auf der Welt, außer dass Sie den von Ihnen generierten Entschlüsselungsschlüssel verwenden.

Der Quellcode für Spideroak-Software ist verfügbar, so dass möglicherweise die mathematische Sicherheit der Verschlüsselung überprüft werden muss und dass ein nur Ihnen bekannter Schlüssel zum Entschlüsseln erforderlich ist: https://spideroak.com/code Verlieren Sie nichts dieser Schlüssel, da niemand helfen kann, die Daten zurückzubekommen. Im Allgemeinen stoßen Sie zu einem bestimmten Zeitpunkt mit einer nicht-Open-Source-Lösung auf Vertrauensbasis in ein Vertrauensproblem. Was bei Open-Source-Lösungen eine große Stärke ist. Ich würde keinem vertraulichen Datenbestand (Steuererklärungen, Krankenakten) einem System vertrauen, für das kein Quellcode verfügbar war.

Sie können natürlich verschlüsselte Dateien oder Dateicontainer wie TrueCrypt mit Dropbox, Google und den anderen verwenden. Dies ist jedoch ein komplizierter zusätzlicher Schritt im Vergleich zur Spideroak-Methode, nämlich die fliegende On-the-Fly-Verschlüsselung auf Ihrer eigenen Hardware. Und es wäre schwierig, wenn nicht unmöglich auf dem iPhone (wo es eine Spideroak-App gibt!).