FileVault 2 кэширует основной пароль даже после отключения питания?

Я настроил шифрование FileVault 2 при использовании длинного и надежного пароля пользователя, а позже изменил пароль пользователя на более короткий. Сначала казалось, что все работает так, как я ожидал: OS X запрашивает длинный пароль при включении (потому что этот пароль использовался для шифрования всего), а позже я могу разблокировать свое устройство с помощью более короткого пароля.

Но сегодня я заметил, что могу использовать короткий пароль даже после выключения системы. Это кажется очень подозрительным! Почему это произошло и как сделать так, чтобы при выключении система была защищена длинным паролем?

Я использую OS X Mavericks 10.9.4.

Как выглядит установка вашего диска. Если вы используете хранилище файлов на отдельном разделе, отличном от системного раздела, или на внешнем жестком диске, который вы создали, вы непреднамеренно сохранили длинный пароль хранилища файлов в цепочке ключей пользователей во время одного из ваших подключений. Используйте прожектор, чтобы найти доступ к связке ключей, и посмотрите, сохраняется ли пароль вашего диска/хранилища файлов.
@user3623501 user3623501 У меня только один диск и один том. Почти стандартная настройка в MacBook Pro с диском на 512 ГБ. Скриншот Дисковой утилиты: ovrload.ru/f/26015_screen_shot_2014-07-02_at_1.55.42_am.png
@user3623501 user3623501 Я не нашел ничего подозрительного в Keychain Access...

Ответы (2)

FileVault должен использовать любой текущий пароль для вашей учетной записи. Когда вы измените пароль своей учетной записи пользователя, FileVault будет обновлен новым паролем.

Мы можем получить то, что вы хотите — длинный пароль FileVault и короткий пароль учетной записи пользователя — путем создания двух учетных записей пользователей.

При первом включении FileVault только учетная запись пользователя, которую вы используете для запуска FileVault, будет настроена для разблокировки FileVault. Вы можете использовать системные настройки FileVault, чтобы добавить другие учетные записи для разблокировки FileVault, выбрав пользователя и введя его пароль.

После включения FileVault всем новым созданным пользователям будет автоматически разрешено разблокировать FileVault.

Для достижения вашей цели иметь очень надежный пароль FileVault и более простой в использовании пароль пользователя, нам нужно создать пользователя с надежным паролем специально для разблокировки FileVault и удалить всех других пользователей из FileVault.

Допустим, вы включили FileVault. Ваша текущая учетная запись frank, и вы упростили frankввод пароля пользователя .

Теперь создайте новую учетную запись пользователя bettyс надежным паролем. bettyбудет автоматически добавлен для разблокировки FileVault, и единственной целью этой учетной записи будет разблокировка FileVault, нам не нужно будет фактически использовать учетную запись для чего-либо еще.

Из командной строки мы можем вывести список пользователей, которые настроены на разблокировку FileVault:

$ sudo fdesetup list
betty,########-####-####-####-############
frank,########-####-####-####-############

Здесь # - это UUID

Системные настройки FileVault позволяют добавлять учетные записи для разблокировки, но для удаления пользователей из этого списка необходимо использовать командную строку. Удалим frank:

$ sudo fdesetup remove -user frank

И убедитесь, что сработало:

$ sudo fdesetup list
betty,########-####-####-####-############

Теперь только bettyможно разблокировать FileVault. (Ну конечно, есть и ключ восстановления.)

Если вы когда-нибудь добавите еще одну новую учетную запись пользователя, вам нужно будет не забыть удалить ее из FileVault.

Кроме того, если вы хотите убедиться, что bettyон используется только для разблокировки диска (предотвратить вход в систему), вы можете отключить его возможность входа в систему, изменив его оболочку входа в систему, /usr/bin/falseкак описано в этом ответе .

Изменить, чтобы добавить:

Ознакомьтесь с разделом Использование fdesetup с FileVault 2 от Mountain Lion , в котором содержится подробная информация об этой fdesetupкоманде.

Работает нормально, но после разблокировки диска с bettyэтим пользователем также заходит в систему, появляется его рабочий стол и т.д., есть ли способ предотвратить это?
нашел ответ — этот ответ можно использовать для «отключения» betty, поэтому после разблокировки диска другой пользователь должен войти в систему.

Хранилище файлов 2 использует мастер-пароль (вероятно, ваш длинный/надежный пароль), но оно также позволяет любому разрешенному пользователю разблокировать системный диск, с надежным паролем или без него. Единственные пользователи, которым вы не можете разрешить разблокировать диск, — это пользователи без пароля.

Я помню, как некоторое время назад читал об уязвимости хранилища файлов, когда злоумышленник мог скомпрометировать учетную запись Apple ID и принудительно сбросить пароль для учетной записи пользователя, который мог разблокировать систему, защищенную хранилищем файлов 2. Затем злоумышленник войдет в систему и разблокирует защищенный диск с помощью нового пароля, который он создал ранее.

> «но это также позволяет любому разрешенному пользователю разблокировать системный диск, надежный пароль или нет» — есть ли способ отключить это?
Однажды у меня была установка, которая запрашивала пароль хранилища файлов, а затем отображал экран входа пользователя в систему. Из быстрого поиска в Google я думаю, что добился этого, сначала разделив, отформатировав и зашифровав диск в дисковой утилите, чем выполнив чистую установку OS X. Вы также можете ограничить, каким пользователям разрешено разблокировать диск, перейдя в системные настройки-> безопасность-> filvault и выбрав кнопку внизу, помеченную как разрешить пользователям, если кнопка не видна, установите свой пароль пустым и закройте / снова откройте панель настроек хранилища файлов. Надеюсь это поможет.
FileVault 2 кэширует основной пароль даже после отключения питания?
СпросиСетьПолитика конфиденциальности1y, 0v