Maximice la seguridad de FileVault destruyendo el almacenamiento de claves en el modo de espera

El modo de espera es una función de ahorro de energía que hiberna automáticamente una Mac después de haber estado en modo de suspensión durante un tiempo, lo que hace que disminuya aún más el consumo de batería. Cuando una Mac que usa el cifrado FileVault se coloca en modo de espera, una clave de FileVault (sí, esta clave está cifrada) se almacena en EFI (firmware) para que pueda salir rápidamente del modo de espera cuando se despierta de la suspensión profunda. Para el 99% de los usuarios, eso apenas importa y no es un problema de seguridad, pero para aquellos que están preocupados por la máxima seguridad absoluta y la protección de una Mac de algunos ataques inusualmente agresivos (es decir, nivel de espionaje), puede configurar OS X para que lo destruya automáticamente. Clave FileVault cuando se coloca en modo de espera de ahorro de energía, evitando que la clave almacenada sea un punto débil potencial o un objetivo de ataque.


Al habilitar esta configuración, los usuarios de FileVault deben ingresar su contraseña de FileVault cuando una Mac se despierta del modo de espera, porque la clave FV ya no se almacena para un despertar rápido.
No es un inconveniente, pero ralentiza un poco el despertar del sueño profundo y requiere que el usuario participe en un nivel adicional de autenticación más allá de las
funciones estándar de bloqueo e inicio de sesión antes de que la Mac vuelva a ser utilizable.

Aumente la seguridad de FileVault destruyendo las claves de FileVault en modo de espera

Este comando debe ingresarse en la Terminal, que se encuentra en / Aplicaciones / Utilidades /

pmset -a destroyfvkeyonstandby 1

La bandera -a aplica la configuración a todos los perfiles de energía, es decir, tanto la batería como el cargador.

Si encuentra esta función innecesaria o frustrante, puede revertirla fácilmente estableciendo el 1 en 0 y usando el comando nuevamente de la siguiente manera:

pmset -a destroyfvkeyonstandby 0

Tenga en cuenta que, según los privilegios de la cuenta de usuario activo, es posible que deba anteponer ambos comandos con sudo para que se ejecuten desde el superusuario, por lo que los comandos serían los siguientes:

Habilitación de la destrucción de claves de FileVault

sudo pmset -a destroyfvkeyonstandby 1

Desactivación de la destrucción de claves de FileVault

sudo pmset -a destroyfvkeyonstandby 0

Siempre puede verificar la configuración de pmset para ver si está actualmente habilitado o deshabilitado mediante el siguiente comando:

pmset -g

Es cierto que esto es un poco técnico y un poco extremo, por lo que no se aplicará a la gran mayoría de usuarios de Mac. No obstante, para aquellos en entornos de seguridad sensibles, aquellos que tienen datos muy sensibles almacenados en sus ordenadores, o incluso para las personas que desean lo máximo en seguridad personal, esta es una opción muy valiosa y debe ser considerada si la disyuntiva de un lento el tiempo de activación vale la pena el beneficio de seguridad adicional.

Como siempre con FileVault, no olvide la contraseña, o de lo contrario todo el contenido de la Mac se volverá inaccesible permanentemente, ya que el nivel de cifrado es tan fuerte que prácticamente nada podría superarlo en una escala de tiempo humana. Si es nuevo en FileVault y el concepto de cifrado de disco completo, asegúrese de configurarlo correctamente y nunca pierda la clave de recuperación de FileVault.

Para obtener mucha más información técnica sobre este tema, Apple tiene una excelente guía de implementación de FileVault disponible en formato PDF .

¡Si te ha gustado vota con 5 Estrellas!
(Votos: 0 Promedio: 0)

Escribe Aquí Tu Comentario