FileVault 2 speichert das Hauptpasswort auch nach dem Ausschalten?

Ich hatte die FileVault 2-Verschlüsselung eingerichtet, während ich ein langes und starkes Benutzerkennwort verwendete, und später das Benutzerkennwort in ein kürzeres geändert. Zuerst schien alles so zu funktionieren, wie ich es erwartet hatte: OS X fragt beim Einschalten nach einem langen Passwort (weil dieses Passwort verwendet wurde, um alles zu verschlüsseln), und später kann ich meine Ausrüstung mit einem kürzeren Passwort entsperren.

Aber heute ist mir aufgefallen, dass ich das kurze Passwort auch nach dem Herunterfahren des Systems verwenden kann. Das erscheint sehr verdächtig! Warum ist das passiert und wie kann ich sicherstellen, dass das System im ausgeschalteten Zustand durch das lange Passwort geschützt ist?

Ich verwende OS X Mavericks 10.9.4.

Wie sieht dein Festplatten-Setup aus? Wenn Sie den Dateitresor auf einer anderen Partition als der Systempartition oder einer externen Festplatte verwenden, haben Sie versehentlich das lange Dateitresorpasswort im Schlüsselbund Ihres Benutzers während eines Ihrer Mounts gespeichert. Verwenden Sie Spotlight, um den Zugriff auf den Schlüsselbund zu finden, und sehen Sie nach, ob Ihr Festplatten-/Dateitresorkennwort gespeichert ist.
@ user3623501 Ich habe nur eine Festplatte und ein Volume darin. So ziemlich das Standard-Setup im MacBook Pro mit 512 GB Laufwerk. Screenshot des Festplattendienstprogramms: ovrload.ru/f/26015_screen_shot_2014-07-02_at_1.55.42_am.png
@user3623501 Ich konnte in der Schlüsselbundverwaltung nichts Verdächtiges finden...

Antworten (2)

FileVault sollte das aktuelle Passwort für Ihr Konto verwenden. Wenn Sie das Passwort Ihres Benutzerkontos ändern, wird FileVault mit dem neuen Passwort aktualisiert.

Wir können bekommen, was Sie wollen – ein langes FileVault-Passwort und ein kurzes Benutzerkonto-Passwort – indem wir zwei Benutzerkonten erstellen.

Wenn Sie FileVault zum ersten Mal aktivieren, wird nur das Benutzerkonto, das Sie zum Starten von FileVault verwenden, zum Entsperren von FileVault eingerichtet. Sie können die FileVault-Systemeinstellungen verwenden, um andere Konten zum Entsperren von FileVault hinzuzufügen, indem Sie den Benutzer auswählen und sein Passwort eingeben.

Nachdem FileVault aktiviert wurde, können alle neu erstellten Benutzer FileVault automatisch entsperren.

Um Ihr Ziel zu erreichen, ein sehr sicheres FileVault-Passwort und ein einfacher zu verwendendes Benutzerpasswort zu haben, müssen wir einen Benutzer mit einem starken Passwort erstellen, um FileVault zu entsperren und alle anderen Benutzer aus FileVault zu entfernen.

Angenommen, Sie haben FileVault aktiviert. Ihr aktuelles Konto ist frank, und Sie haben frankdas Benutzerkennwort von leicht einzugeben.

Erstellen Sie nun ein neues Benutzerkonto bettymit einem starken Passwort. bettywird automatisch hinzugefügt, um FileVault zu entsperren, und der einzige Zweck dieses Kontos ist das Entsperren von FileVault, wir müssen das Konto nicht wirklich für etwas anderes verwenden.

Über die Befehlszeile können wir die Benutzer auflisten, die zum Entsperren von FileVault eingerichtet sind:

$ sudo fdesetup list
betty,########-####-####-####-############
frank,########-####-####-####-############

Hier sind die # die UUID

Mit den FileVault-Systemeinstellungen können Sie Konten zum Entsperren hinzufügen, aber Sie müssen die Befehlszeile verwenden, um Benutzer aus dieser Liste zu entfernen. Entfernen wir frank:

$ sudo fdesetup remove -user frank

Und vergewissern Sie sich, dass es funktioniert hat:

$ sudo fdesetup list
betty,########-####-####-####-############

Jetzt bettykann nur noch FileVault entsperrt werden. (Nun, natürlich gibt es auch den Wiederherstellungsschlüssel.)

Wenn Sie jemals ein weiteres neues Benutzerkonto hinzufügen, müssen Sie daran denken, es aus FileVault zu entfernen.

Wenn Sie sicherstellen möchten, dass dies bettynur zum Entsperren der Festplatte verwendet wird (Anmeldung verhindern), können Sie die Anmeldefunktion deaktivieren, indem Sie die Anmelde-Shell wie in /usr/bin/falsedieser Antwort beschrieben ändern .

Bearbeiten zum Hinzufügen:

Sehen Sie sich Using fdesetup with Mountain Lion's FileVault 2 an , das viele Details über den fdesetupBefehl enthält.

Funktioniert gut, aber nach dem Entsperren der Festplatte bettyist dieser Benutzer auch angemeldet, sein Desktop wird angezeigt usw. Gibt es eine Möglichkeit, dies zu verhindern?
die Antwort gefunden — diese Antwort kann zum "Deaktivieren" verwendet werden betty, sodass sich nach dem Entsperren der Festplatte ein anderer Benutzer anmelden muss.

Dateitresor 2 verwendet ein Master-Passwort (wahrscheinlich Ihr langes/starkes Passwort), aber es ermöglicht auch jedem aktivierten Benutzer, das Systemlaufwerk zu entsperren, starkes Passwort oder nicht. Die einzigen Benutzer, denen Sie das Entsperren des Laufwerks nicht ermöglichen können, sind Benutzer ohne Kennwort.

Ich erinnere mich, dass ich vor einiger Zeit eine Schwachstelle in einem Dateitresor gelesen habe, bei der ein Angreifer ein Apple-ID-Konto kompromittiert und eine Kennwortzurücksetzung für ein Benutzerkonto erzwungen hat, das ein durch Dateitresor 2 geschütztes System entsperren konnte. Der Angreifer würde sich dann beim System anmelden und das geschützte Laufwerk mit dem zuvor erstellten neuen Passwort entsperren.

> "aber es erlaubt auch jedem aktivierten Benutzer, das Systemlaufwerk zu entsperren, starkes Passwort oder nicht" - gibt es eine Möglichkeit, dies zu deaktivieren?
Ich hatte einmal eine Installation, die nach dem File Vault-Passwort gefragt hat und dann den Benutzeranmeldebildschirm angezeigt hat. Nach einer schnellen Google-Suche habe ich dies erreicht, indem ich zuerst das Laufwerk im Festplattendienstprogramm partitioniert, formatiert und verschlüsselt habe, als eine saubere OS X-Installation durchzuführen. Sie können auch einschränken, welche Benutzer das Laufwerk entsperren dürfen, indem Sie zu Systemeinstellungen -> Sicherheit -> Filvault gehen und die Schaltfläche unten mit der Bezeichnung Benutzer aktivieren auswählen. Wenn die Schaltfläche nicht sichtbar ist, setzen Sie Ihr Passwort auf leer und schließen/öffnen Sie das Dateitresor-Einstellungsbereich. Hoffe das hilft.
FileVault 2 speichert das Hauptpasswort auch nach dem Ausschalten?
AntwortenHierDatenschutz-Bestimmungen1y, 0v