Ab und zu erhalte ich E-Mail-Anfragen zur Sicherheit des Firmware-Passwortes, das man für Macs setzen kann – ist ein solches Passwort gesetzt (Open Firmware- oder Extensible Firmware Interface [EFI]-Passwort), kann man das System nur nach dessen Eingabe booten. MacMacken-Leser Malte beispielsweise schrieb in diesem Zusammenhang …
Mir ist bei meinem MBP aufgefallen, dass man das gesetzte Firmware-Kennwort umgehen kann. Wenn man “Alt” von Anfang an gedrückt hält, wird das Kennwort abgefragt. Per Zufall hatte ich aber erst ca. 4-5 Sekunden nach dem Mac-Startsound auf “Alt” gedrückt, sodass mir sofort ohne Kennworteingabe die Bootpartionen zur Auswahl standen. Dies funktioniert zumindest bei mir bei jedem Versuch. *immer mehr an Sicherheit von Macs zweifeln*
… ich kann das von Malte beschriebene Vorgehen nicht reproduzieren, aber Malte zweifelt zu Recht an der Mac-Sicherheit, zumindest im Bezug auf das Firmware-Passwort:
Wer direkten («physischen») Zugriff auf einen Mac hat, der mit einem Firmware-Passwort geschützt ist, kann dieses problemlos zurücksetzen. Dazu muss lediglich eine Veränderung am installierten Arbeitsspeicher vorgenommen und danach ein dreimaliger PRAM-Reset per Command-Option-P-R durchgeführt beim Systemstart werden – danach ist das Firmware-Passwort gelöscht. Eine Ausnahme bildet das MacBook Air mit fest verbautem Arbeitsspeicher.
Als Alternative zum wenig wirkungsvollen Firmware-Passwortschutz auf dem Mac bietet sich das vollständige Verschlüsseln des Systems an, beispielsweise mit Whole Disk Encryption (WDE) von PGP.
Das Passwort hält so immerhin jemanden 5 Minuten auf die Festplatte zu lesen. Bei einem iBook, bei dem man die Festplatte nicht mal so eben ausbauen kann ist das schon mal ein kleiner Zeitvorteil. Auch ist dort der RAM nicht so einfach auszubauen. Aber wirklich sicher ist das nicht, da hilft dann nur noch eine Verschlüsselung der Daten auf der Festplatte.
Es ist wie immer: Physischer Zugriff ist mit am gefährlichsten.
mir ist auch was auf gefallen,,,, start mal dein mac in “target mode”.
ich glaube wie Martin gesagt hat wan einer dein rechner im hand hat ist es eigentlich schon vorbei ausser man die daten selber verschlusselt (ich glaube Mac bietet das auch im “System Prefrences” an aber vergess nich dein passwort
)
tom
@tom: Mit «Bordmitteln» ist es unter Mac OS X leider nicht möglich, das System vollständig zu verschlüsseln – man kann lediglich mit FileVault die Benutzerdaten in ein verschlüsseltes Sparse Bundle legen. Für die Verschlüsselung des gesamten Systems muss man eine Lösung wie PGP WDE verwenden:
http://www.macmacken.com/2009/.....mleistung/
@tom: Genau, FileVault verschlüsselt den Benutzerordner, dann ist es ohne Passwort oder Hauptkennwort nicht mehr möglich an die Daten zu kommen. Vorausgesetzt natürlich, dass es nicht noch ein Hintertürchen gibt …
@Martin: FileVault verschlüsselt streng genommen nicht den Benutzerordner, sondern verschiebt die entsprechenden Daten in ein verschlüsseltes Sparse Bundles, welches dann als «Benutzeordner» gemountet wird. Die Verschlüsselung erfolgt dadurch nicht zu 100% transparent, weshalb immer Anwendungen Mühe bekunden, mit aktiviertem FileVault korrekt zu funktionieren.
Im Bezug auf die Sicherheit der Verschlüsselung hat FileVault einige Macken:
http://www.macmacken.com/2007/.....filevault/
Perfekt funktioniert das nicht unbedingt, aber es ist gegen den Gelegenheitsdieb schon ganz brauchbar, und gegen neugierige Leute, die denn Target Modus kennen schon ein Schritt nach vorne. Aber absolute Sicherheit ist das natürlich nicht, da haben Sie Recht.
1. bootfähiges System auf externer HD (vorzugsweise FW800 wie die 2,5″ Rugged von Lacie) installieren (partionieren ist nicht die dümmste Idee)
2. Root-User zBsp. mit Verzeichnisdienst (ab 10.6. unter System, Library, CoreService zufinden)
3. alt-Taste gedrückt halten, neues Bootvolumen (ext. HD) auswählen
4. aufstarten und als Root-User die Rechte neusetzen…
(Freunde des Terminals sind eh einen grossen schritt weiter
oder wie erwähnt, mit t-Taste (Target) aufstarten, zweiten Rechner mit FW-Kabel verbinden…
FileFault ist schon ganz net, bremst den Rechner von der Performance aber kräftig aus.
Mein Vorschlag: Rechner a) wie anbinden, b) wie benutzen und n) nie aus den Augen lassen… Wer Firewall aktiviert hat ist schon einen kleinen Schritt sicherer (pingen unterbinden – auch unsichtbar genannt), besser gut gewarteter Firewall (Zywall) daheim.
PWs generell über 13stellig mit Zahlen, keine Logik (generieren zBsp. via Kennwort unter Benutzer), und nicht am Computer mit Haftnotizen oder unter dem Mauspad aufschreiben. Auch ist es blöd das oberste Schubfach dafür zu benutzen…
Noch sicherer? Blatt Papier benutzen und nach Gebrauch kleinrupfen und aufessen… (ja, ein dummer Scherz)
Ansonsten eine Produktempfehlung genereller Art: http://www.sophos.com oder http://www.intego.com
Pings zu blockieren ist nicht empfehlenswert; man erzielt damit keinen Sicherheitsgewinn, stört dafür aber eine wichtige Netzwerkfunktion.
Je nach individueller Situation kann es durchaus vergleichsweise sicher sein, seine Passwörter auf Papier zu notieren und beispielsweise in seinem Schreibtisch aufzubewahren.