FileVault 2 кешує основний пароль навіть після вимкнення живлення?

Я встановив шифрування FileVault 2 під час використання довгого та потужного пароля користувача, а пізніше змінив пароль користувача на більш короткий. У перший раз здавалося, що все працює, як я очікую: OS X запитує довгий пароль при включенні (тому що цей пароль був використаний для шифрування всього), а пізніше я можу розблокувати свій пристрій з більш коротким паролем.

Але сьогодні я помітив, що я можу використовувати короткий пароль навіть після відключення системи. Це здається дуже підозрілим! Чому це сталося і як я можу переконатися, що при вимкненому живленні система захищена довгим паролем?

Я використовую OS X Mavericks 10.9.4.

FileVault має використовувати будь-який поточний пароль для вашого облікового запису. При зміні пароля облікових записів користувача FileVault буде оновлено новим паролем.

Ми можемо отримати те, що ви хочете - довгий пароль FileVault і короткий пароль облікового запису користувача - шляхом створення двох облікових записів користувачів.

Коли ви вперше ввімкнете FileVault, для розблокування FileVault буде налаштовано лише обліковий запис користувача, який використовується для запуску FileVault. Ви можете використовувати FileVault System Preferences, щоб додати інші облікові записи, щоб розблокувати FileVault, вибравши користувача, який введе пароль.

Після того, як FileVault буде увімкнено, всі створені нові користувачі автоматично дозволять розблокувати FileVault.

Щоб досягти своєї мети мати дуже сильний пароль FileVault і простіший у використанні пароль користувача, нам необхідно створити користувача з надійним паролем, спеціально для того, щоб розблокувати FileVault і видалити всіх інших користувачів з FileVault.

Давайте скажемо, що ви ввімкнули FileVault. Ваш поточний рахунок frank, і ви зробили frank легко ввести пароль користувача.

Тепер створіть новий обліковий запис користувача betty з надійним паролем. betty буде автоматично додано, щоб розблокувати FileVault, і єдина мета цього облікового запису буде для розблокування FileVault, нам не потрібно буде фактично використовувати обліковий запис для чогось іншого.

У командному рядку ми можемо вказати користувачів, які налаштовані, щоб розблокувати FileVault:

$ sudo fdesetup list
betty,########-####-####-####-############
frank,########-####-####-####-############

Тут # s є UUID

Параметри FileVault System дозволяють додавати облікові записи для розблокування, але для видалення користувачів з цього списку потрібно скористатися командним рядком. Давайте знімемо frank :

$ sudo fdesetup remove -user frank

І перевірте, що працювали:

$ sudo fdesetup list
betty,########-####-####-####-############

Зараз тільки betty можна розблокувати FileVault. (Ну, звичайно, є і ключ відновлення.)

Якщо ви коли-небудь додаєте інший новий обліковий запис користувача, вам потрібно буде не забувати видалити їх з FileVault.

Також, якщо ви хочете переконатися, що betty використовується тільки для розблокування диска (запобігання входу в систему), ви можете відключити його можливість входу, змінивши його оболонку входу в /usr/bin/false як описано у цій відповіді .

Редагувати, щоб додати:

Перевіряти Використання файлу fdesetup з файловоломки Mountain Lion 2 яка надає багато деталей про fdesetup команду.

Файловий сховище 2 використовує головний пароль (ймовірно, ваш довгий / сильний пароль), але він також дозволяє будь-якому включеному користувачеві розблокувати системний диск, надійний пароль або ні. Тільки користувачам, які не можна ввімкнути, щоб розблокувати диск, є користувачі, які не мають пароля.

Я пам'ятаю, коли ще раз читав уразливість файлового сховища, де зловмисник скомпрометує обліковий запис яблука і примушує скинути пароль до облікового запису користувачів, який міг розблокувати захищену систему з сховища файлів 2. Зловмисник увійде в систему і розблокує захищений диск новим паролем, який вони створили раніше.