Verschlüsselung - Sicherheitsrisiko Schlüsselmanager?

[Konrado]

Hallo,

ich habe die meisten der freigegebenen Ordner verschlüsselt und arbeite mit dem Schlüsselmanager und einem externen USB Stick als Schlüssel, um alle Laufwerke beim Hochfahren automatisch zu entschlüsseln. Dabei frage ich mich aber mittlerweile, ob das automatische Entschlüsseln beim Hochfahren (egal ob nun per externem Gerät oder nicht), nicht ein ziemliches Sicherheitsrisiko ist. Denn wenn das NAS bei einem Einbruch mal geklaut wird, kommt man ja so ohne Aufwand sofort an all die verschlüsselten Daten ran. Dann kann ich das mit dem Verschlüsseln eigentlich auch gleich sein lassen.

Wie seht ihr das und vor allem, wie handhabt ihr das? Würde mich über euer Feedback dazu freuen.

Gruß Konrado

 

[blurrrr]

ohne Aufwand sofort

Halte ich erstmal für ein Gerücht...

 

[Konrado]

Damit bezog ich mich nur auf die Verschlüsselung, man benötigt natürlich noch einen Useraccount, falls sich dein Feedback darauf bezog. Die Verzeichnisse werden ja aber bereits beim Hochfahren automatisch entschlüsselt so dass dieser Schutz wegfällt. Wenn ich falsch liege, dann lasse ich mich gerne eines besseren belehren und eigentlich will ich ja genau das hören

 

[ottosykora]

also warum nicht manuell die Ordner einhängen, also entschlüsseln statt diesem Automatismus?

Ohne Aufwand? Wie soll das denn genau gehen?

Und wenn es jemand unbedingt so automatisch handhaben will, dann gibt es eine Lösung: den USB Stick mit einem Supperkleber so an die Wand kleben, dass es beim Versuch es mitzunehmen physisch zerstört wird.

 

[Wollfuchs]

Etwas, dass ich nie wirklich verstanden habe, vermutlich weil mit der Anwendungszweck fehlt...

Wenn ich mir aus lauter Faulheit einen automagischen Tueroeffner installiere, der die Luke aufmacht, nur weil jemand klingelt,
dann muss ich mich doch nicht wundern, wenn jemand um Flur steht. Ich bin doch keine Arztpraxis ...

Daher, Verschluesslung ja, automagisches einhaengen nein. Wenn ich alle Jubeljahre mal die Kiste booten muss,
dann kann ich auch die Laufwerke manuell mounten oder zu dem Zeitpunkt den Stick reinstoepseln und dann
eben wieder abziehen.

Warum sollte ich nen Schluessel im Schloss lassen?

 

[peterhoffmann]

Schon ein Schlüsselmanager, wo ich nicht reinschauen kann, ist per se schon ein No-Go.
Die Steigerung dazu ist das Steckenlassen vom Schlüssel in der Außentür, damit man nicht mühselig in der Hosentasche nach dem Schlüssel kramen muss.

Wer eine 3-Klick-Strategie in der schicken grafischen Oberfläche fährt, hat schon verloren.
Wer "mehr" an Sicherheit bekommen will, muss eigene Wege gehen, sprich sich damit EINMAL ordentlich auseinandersetzen, "sein" System finden und das umsetzen. Dieses Forum bietet dazu schon schöne Ansätze.

 

[Konrado]

Alles klar, danke für euer Feedback! Dann seht ihr das ja wie ich und das Ding kommt wieder raus

 

[NSFH]

Wenn sich seit der 6.1.x nichts geändert hat funktioniert das so:
- Verschlüsselung mit automatischen Einhängen ist aktiviert.
- Syno geklaut
- Dieb setzt Passwort per Reset zurück und kann sich als Admin einloggen
- verschlüsselte Laufwerke werden nicht eingebunden, geht nur per Schlüsseldatei

 

[Synchrotron]

Damit eine Schlüsseldatei auf einem Stick zusätzliche Sicherheit bringt, muss sie als 2FA genutzt werden. Das heißt man kombiniert „Wissen“ (=Passwort) und „Besitz“ (=Schlüsselstick). Lässt man den Stick fest eingesteckt, ist der Schutz genau so (un)wirksam wie ein auf der DS selbst gespeicherter Schlüssel. Im „Idealfall“ kombiniert mit einem im Browser abgespeichert Admin-Passwort ...

Nur wenn man ihn (immer) entfernt und wieder einsteckt, bekommt man den 2FA-Effekt. Ist wie mit manuellen Backups: Tut man es wirklich, immer, Hand ins Feuer ?!

P.S. Es ist mit Ausnahme einer gezielten Aktion (weshalb ?) unwahrscheinlich, dass ein Einbrecher eine DS mitnimmt, um sie zu knacken. Die wird maximal abgeräumt und stückweise (DS und HDDs getrennt) irgendwo verkloppt. Ist aber sperrige Beute. Der übliche Bruch ist ein rein-aufklauben-raus Job, der in 5min erledigt ist und i.w. Bargeld, Schmuck, Handies und andere leicht bewegliche und gut verkäufliche Dinge zum Ziel hat.

 

[peterhoffmann]

Es ist mit Ausnahme einer gezielten Aktion (weshalb ?) unwahrscheinlich

Mit "unwahrscheinlich" bin ich ganz bei dir.

Dennoch gibt es ein paar Anwendungsfälle, die mir einfallen und möglich sind:

• Kundendaten, die für die Konkurrenz sehr wertvoll sind, evtl. mit dem Entwenden sogar den Niedergang der Firma bedeuten
• Daten, die für die Exfrau (oder Exmann) interessant sind (Scheidungskrieg)
• Schutz vor staatlichem Zugriff (z.B. Polizei, Steuerfahndung)

 

[Synchrotron]

Nach der Aufzählung bleibt wenig Glaube an das Gute im Menschen zurück:

1+2 wären Auftragsjobs, kein "normaler" Einbruch.
3 die brauchen/werden kaum einbrechen, die kommen mit einem Durchsuchungsbeschluß und einem Sprinter.

Allen tut man einen "Gefallen", wenn der Schlüsselstick brav in der DS steckt.

 

[Aevin]

Naja der Stick kann schon in der DS stecken bleiben.
Allerdings sollte man nicht die Automatik zum Einhängen nehmen, sondern der Bequemlichkeit zu liebe wenigstens ein komplexes Masterpasswort nutzen.
Ich nutze es selbst so, da ich sehr viele verschlüsselte Ordner habe mit kryptischen Passwörtern. Da würde ich sonst nach Neustart der DS ewig brauchen alle separat einzubinden.

Inwieweit so ein Masterpasswort auf dem Stick geknackt/ausgelesen werden kann weiß ich aber nicht. Ich gehe aber von einer hohen Sicherheitsstufe aus. Für "Hobbydiebe" sicher nicht möglich.