¿Qué opción de recuperación de FileVault 2 es más segura: almacenar la clave de recuperación en iCloud o guardarla en algún lugar usted mismo?

Al configurar FileVault 2 en una computadora, se le presentan 2 opciones de recuperación: almacenar la clave de recuperación con su cuenta de iCloud / ID de Apple y mostrar la clave de recuperación (para que la escriba / guarde en algún lugar usted mismo). Sin embargo, después de investigar un poco, encontré algunas publicaciones que afirman poder extraer las claves de recuperación de FileVault de las cuentas de iCloud de los usuarios , lo que me hace preguntarme si almacenar la clave de recuperación con iCloud es la mejor solución. Como punto de referencia, también miré el documento técnico de Apple sobre FileVault, que explica que la clave de recuperación está protegida por una clave de "envoltura" generada al codificar las respuestas a 3 preguntas de seguridad. Aún así, si este exploit es legítimo, por lo que sé, esto solo importaría si alguien tuviera acceso físico a su computadora.

Dadas estas dos opciones de recuperación, ¿cuál sería más segura?

  1. Almacenar clave de recuperación con iCloud
  2. Almacene la clave de recuperación en un administrador de contraseñas, donde se sincroniza con varios dispositivos a través de un servicio como Dropbox

Actualmente estoy pensando que la opción 2 sería, porque existe la capa adicional de la bóveda del administrador de contraseñas, incluso si el servicio de sincronización de archivos se viera comprometido, pero eso podría ser equivalente al hash de clave de envoltura que agrega Apple.

¿ Puede aclarar qué quiere decir con más seguro ? He trabajado en el campo de la seguridad informática y puedo decirles que la gente puede debatir durante horas sobre qué significa exactamente hacer que algo sea más seguro.
Guardo la llave con apple porque en mi opinión creo que es lo más seguro. Cuando lo escribo en alguna parte, es posible que alguien entre y encuentre el código. Cuando el servicio de Apple se ve comprometido, todavía tienen que encontrar mi computadora, creo. Al sincronizar con Dropbox u otro servicio, si eso está comprometido y alguien puede acceder a su bóveda, el problema sería el mismo
@Monomeeth Buena pregunta: en este caso, me refiero a algo como la probabilidad de que un tercero lo comprometa. Originalmente, estaba pensando que la Opción 2 anterior sería más segura, porque implica varias capas de encriptación (primero tendrían que comprometer a Dropbox y luego tendrían que encontrar una forma de ingresar a mi bóveda de administrador de contraseñas encriptadas). Pero, entonces, la otra cara de la moneda sería que la clave de recuperación sería accesible desde todos los dispositivos con los que sincronizo mi administrador de contraseñas, que se encuentra en la memoria sin cifrar (suponiendo que ya haya descifrado la bóveda), lo que parece más arriesgado.

Respuestas (3)

¿Cuál sería más seguro?

La respuesta a esto solo puede ser determinada por usted.

Lo que tienes que hacer es encontrar el equilibrio entre la usabilidad y la seguridad , y ese equilibrio solo puede ser determinado por aquello con lo que te sientas cómodo.

No se trata tanto de dónde almacena sus contraseñas/claves de recuperación/etc. sino como los almacenas. Hay muchos niveles de encriptación que puede emplear, desde un AES-256 básico hasta el uso de Steganography para incrustar claves triplemente codificadas con sal y hash .

Cuanto más complejo lo haga, más seguro; siendo el costo más inconveniente se vuelve acceder a sus datos. Del mismo modo, el corolario también es cierto, cuanto menos compleja sea la seguridad, menos segura, pero la recompensa es un acceso más fácil a sus datos.

Entonces, lo que tiene que hacer es una simple evaluación de riesgos:

  • El valor de los datos para usted (es decir, ¿qué valor tiene para usted?)
  • La importancia de los datos (¿se puede vivir sin ellos?)
  • El costo de los datos (¿cuánto le costó/le costaría (re)crear?)
  • ¿Qué tan accesible lo necesita (todos los días, todos los años, una vez en la vida?)

Por supuesto, esta es una versión muy abreviada, pero debería ser suficiente para este escenario.

Utilice las respuestas a la pregunta para ver qué tiene más sentido, teniendo en cuenta que en el momento en que coloca los datos en los servidores de otra persona (es decir, en la nube), introduce inherentemente el riesgo en la ecuación.

Ahh... pero con esa última declaración, podrías estar pensando "Debería guardarlo fuera de línea". Esa es una posibilidad, pero luego presenta el problema de perder sus datos si extravía el dispositivo (es decir, la memoria flash USB) en el que lo colocó.

¿Qué debo hacer?

Mi material crítico está en un USB que está disfrazado como un objeto de aspecto inocente. Tiene una copia de seguridad en otro USB que se coloca en una caja fuerte en un lugar no revelado.

Mis "cosas no tan críticas" se cifran y luego se colocan en un proveedor de la nube para facilitar el acceso.

Pero, eso es lo que funciona para mí. YMMV

Guardarlo en algún lugar usted mismo es más seguro siempre que ese otro lugar esté memorizado en su propio cerebro. De lo contrario, la respuesta a esto no es estática.

iCloud puede tener vulnerabilidades y también Dropbox. Conocer algunas vulnerabilidades solo le informa sobre aquellas que se han hecho públicas. En este momento es posible que sepamos sobre una vulnerabilidad en iCloud, pero mañana eso podría ser parcheado y podrían revelarse 12 vulnerabilidades en Dropbox.

Los consideraría básicamente iguales si no va a memorizar la clave de recuperación.

Aparte, no memorizo ​​mis propias claves, las guardo en Dropbox usando 1Password

Este es un ejemplo de cómo se puede extraer una clave de recuperación de disco de iCloud para permitir el descifrado de su disco. En general, ningún método real es más seguro que otro. La conveniencia de iCloud lo convierte en un lugar aceptable para almacenar su clave de recuperación. Recuerde que si la almacena en iCloud, no hay una buena manera de navegar y extraer su clave a menos que siga los pasos que se describen aquí .

Otras opciones aceptablemente seguras incluyen almacenarlo en 1Password, Dropbox. Las impresiones en papel de la clave de recuperación son propensas a perderse, al menos conmigo.

¿Qué opción de recuperación de FileVault 2 es más segura: almacenar la clave de recuperación en iCloud o guardarla en algún lugar usted mismo?
RespuestasAquíPolítica de privacidad1y, 0v