Das Benutzerpasswort wurde geändert, indem ein neues Passwort als Hash angegeben wurde, das nicht mit FileVault 2 synchronisiert wird

Das Aktualisieren des Kennworts eines Kontos für den Pre-Boot-Anmeldebildschirm von FileVault 2 muss den opendirectoryd- Prozess umfassen, wenn das Kennwort des Kontos geändert wird. Das direkte Schreiben des neuen Passwort-Hashs in die Plist-Datei umgeht opendirectoryd , sodass der Passwort-Synchronisierungsprozess nie einsetzt.

Wenn Sie das Passwort auf diese Weise ändern müssen, müssen Sie möglicherweise das Benutzerkonto mit fdesetup entfernen und erneut hinzufügen. Dadurch wird der abgeleitete Schlüssel des alten Passworts für FileVault 2 geleert und ein abgeleiteter Schlüssel für das neue Passwort eingerichtet.

Entfernen:

fdesetup remove -user username_goes_here 

Neu hinzufügen:

fdesetup add -usertoadd username_goes_here  

Hinweis: Als Teil des Entfernens und erneuten Hinzufügens müssen Sie entweder das Passwort eines FileVault 2-fähigen Kontos oder einen persönlichen Wiederherstellungsschlüssel angeben, der dem Computer zugeordnet ist, um die Änderungen zu autorisieren. Beachten Sie unbedingt, dass das Konto nach dem Ausführen von fdesetup remove für Ihr lokales Administratorkonto nicht mehr für FileVault 2 aktiviert ist und die Ausführung von fdesetup add nicht autorisieren kann . Stellen Sie sicher, dass Sie einen persönlichen Wiederherstellungsschlüssel zur Verfügung haben, oder aktivieren Sie ein anderes Benutzerkonto für FileVault 2, und verwenden Sie dann den Wiederherstellungsschlüssel oder das Kennwort dieses zweiten Kontos, um das erneute Hinzufügen Ihres lokalen Administratorkontos zu autorisieren.

Kommentar : Ich habe nach der Praxis gefragt, Passwort-Hashes in Plist-Dateien zu schreiben, um Passwörter zu ändern, während ich auf der diesjährigen WWDC war. Ich habe folgendes Feedback von Apple-Ingenieuren erhalten:

„Das ist entsetzlich. Tu das nicht.“

https://forums.developer.apple.com/message/8028