笔记本电脑加密的推荐做法:嵌套加密？

Question

到目前为止，我使用的笔记本电脑只有一个加密文件夹(使用filevault2)，其中包含我的密码和银行资料。

我得到了一个新的笔记本电脑，鼓励全磁盘加密。这将是很有吸引力的，但我想把我的笔记本电脑交给一个同事或学生半个小时，而我们正在进行一个共享的项目，甚至不需要担心密码安全。

可以想象，这可以通过在整个磁盘加密(两层加密)中嵌套一个加密文件夹来实现。

这主意不好吗？加密文件夹(银行详细信息等)并没有大量使用。

Answer 1

嵌套加密可以用作访问控制，但无助于解决共享身份/系统的所有其他问题，这也是您可能需要考虑的问题。

把一台未上锁的笔记本电脑交给别人几乎都是个坏主意，即使仅仅是为了归属。不要共享帐户，包括计算机帐户。几乎所有的现代系统都允许简单的多用户计算和快速的用户切换。如果你们都需要处理同一个文件，那么苹果、微软和谷歌都可以使用iWork、Office和Docs来支持这一点。

计算机和用户帐户是个人物品。像对待内衣一样对待他们:你应该是唯一的使用者。

要详细说明“交出一个未锁定的系统”部分，这基本上意味着您不再控制从那时起发生的事情。即使心中没有恶意，这也不是你应该接受的。因为系统是‘你的’，你的帐户是‘你’，这意味着发生在该系统上的一切都归于你。同时，许多外部系统可能仍然认为，如果是您的系统访问或正在做某件事情，它一定意味着它是‘您’做的事情或访问的东西。它不能区分谁在控制，只有什么请求是提出和服务的。

一种设想：

您将您的未锁定系统交给其他人，并需要在其他地方做一些事情，使机器及其用户不再在您的视线之内。此时，(非恶意的)用户可能正在做打算做的事情，比如查找一些数据或填写某些表单。可能会出现弹出窗口，也可能会访问站点，在交互之后，有时甚至没有交互，系统中会引入持久性恶意软件。用户可能不知道这一点，也可能不关心，或者忘记它，甚至假定这是有意的，因为您的系统的设置方式可能与这个用户所习惯的不同。您返回，用户完成后，您就可以在您的机器上工作。持久的恶意软件现在跟踪所有的活动和一些NDA‘’ed的信息被泄露。这些信息恰好是以你的身份为水印的，并出现在某个地方。现在你因为泄露不应该公开的信息而陷入困境，他们可以证明它是你的，因为水印。现在由你来证明它是被偷/提取/泄露的，而不是你想要发生的事情。

虽然这通常是可以解决的，但它仍然需要大量的时间、资源和注意力，而这些本来可以花在你选择的其他事情上。

与其发生类似的情况，您还可以仅仅以一种防止这种情况发生的方式来设置系统，但仍然保留着在相同的数据或应用程序上协同工作的可能性。这可以通过多种方式完成，例如：

• 在不同的帐户上工作，根据需要共享数据
• 致力于旨在进行协作的系统
• 使用操作系统提供的来宾帐户并使用客户访问存储方法共享数据(即macOS上的只读公共和只读拖放框目录)

许多与安全有关的问题可能会导致资源/时间的浪费，以防某些事情出错，而不是立即失去资源/生命/访问。在大多数情况下，通过使用合适的协作方法来防止某些事情发生是关键。虽然这个答案相当大，并且可能包含来自其他问答帖子的重复信息，但我希望这说明了足够的理由去寻找更好的方法来实现你的目标。