Я настроил шифрование FileVault 2 при использовании длинного и надежного пароля пользователя, а позже изменил пароль пользователя на более короткий. Сначала казалось, что все работает так, как я ожидал: OS X запрашивает длинный пароль при включении (потому что этот пароль использовался для шифрования всего), а позже я могу разблокировать свое устройство с помощью более короткого пароля.
Но сегодня я заметил, что могу использовать короткий пароль даже после выключения системы. Это кажется очень подозрительным! Почему это произошло и как сделать так, чтобы при выключении система была защищена длинным паролем?
Я использую OS X Mavericks 10.9.4.
FileVault должен использовать любой текущий пароль для вашей учетной записи. Когда вы измените пароль своей учетной записи пользователя, FileVault будет обновлен новым паролем.
Мы можем получить то, что вы хотите — длинный пароль FileVault и короткий пароль учетной записи пользователя — путем создания двух учетных записей пользователей.
При первом включении FileVault только учетная запись пользователя, которую вы используете для запуска FileVault, будет настроена для разблокировки FileVault. Вы можете использовать системные настройки FileVault, чтобы добавить другие учетные записи для разблокировки FileVault, выбрав пользователя и введя его пароль.
После включения FileVault всем новым созданным пользователям будет автоматически разрешено разблокировать FileVault.
Для достижения вашей цели иметь очень надежный пароль FileVault и более простой в использовании пароль пользователя, нам нужно создать пользователя с надежным паролем специально для разблокировки FileVault и удалить всех других пользователей из FileVault.
Допустим, вы включили FileVault. Ваша текущая учетная запись frank
, и вы упростили frank
ввод пароля пользователя .
Теперь создайте новую учетную запись пользователя betty
с надежным паролем. betty
будет автоматически добавлен для разблокировки FileVault, и единственной целью этой учетной записи будет разблокировка FileVault, нам не нужно будет фактически использовать учетную запись для чего-либо еще.
Из командной строки мы можем вывести список пользователей, которые настроены на разблокировку FileVault:
$ sudo fdesetup list
betty,########-####-####-####-############
frank,########-####-####-####-############
Здесь # - это UUID
Системные настройки FileVault позволяют добавлять учетные записи для разблокировки, но для удаления пользователей из этого списка необходимо использовать командную строку. Удалим frank
:
$ sudo fdesetup remove -user frank
И убедитесь, что сработало:
$ sudo fdesetup list
betty,########-####-####-####-############
Теперь только betty
можно разблокировать FileVault. (Ну конечно, есть и ключ восстановления.)
Если вы когда-нибудь добавите еще одну новую учетную запись пользователя, вам нужно будет не забыть удалить ее из FileVault.
Кроме того, если вы хотите убедиться, что betty
он используется только для разблокировки диска (предотвратить вход в систему), вы можете отключить его возможность входа в систему, изменив его оболочку входа в систему, /usr/bin/false
как описано в этом ответе .
Изменить, чтобы добавить:
Ознакомьтесь с разделом Использование fdesetup с FileVault 2 от Mountain Lion , в котором содержится подробная информация об этой fdesetup
команде.
betty
этим пользователем также заходит в систему, появляется его рабочий стол и т.д., есть ли способ предотвратить это?betty
, поэтому после разблокировки диска другой пользователь должен войти в систему.Хранилище файлов 2 использует мастер-пароль (вероятно, ваш длинный/надежный пароль), но оно также позволяет любому разрешенному пользователю разблокировать системный диск, с надежным паролем или без него. Единственные пользователи, которым вы не можете разрешить разблокировать диск, — это пользователи без пароля.
Я помню, как некоторое время назад читал об уязвимости хранилища файлов, когда злоумышленник мог скомпрометировать учетную запись Apple ID и принудительно сбросить пароль для учетной записи пользователя, который мог разблокировать систему, защищенную хранилищем файлов 2. Затем злоумышленник войдет в систему и разблокирует защищенный диск с помощью нового пароля, который он создал ранее.
Брайан Дьюк
Отображаемое имя
Отображаемое имя