So greifen Sie mit vergessenem Passwort auf ein FileVault-verschlüsseltes Home-Verzeichnis zu

Zur Erleichterung des Lesers die Kurzfassung:

MacBook Pro mit Mountain Lion. Ein Benutzer hat sein FileVault-Passwort und seinen Master-Wiederherstellungscode vergessen. FileVault 2 ist nicht aktiviert, nur das Home-Verzeichnis des Benutzers ist verschlüsselt und existiert als Sparsebundle. Ich würde das Sparsebundle knacken, aber ich habe Probleme, den Hash zu bekommen. Alles, was ich wirklich tun möchte/muss, ist in der Lage zu sein, den Benutzerordner zu entschlüsseln, damit wieder auf seine Daten zugegriffen werden kann.

Übrigens, ich habe irgendwo gesehen, dass Apple das FileVault-Passwort mit Ihrer Apple-ID zurücksetzen kann? Trifft dies zu, wenn die FileVault 2-Vollverschlüsselung nicht aktiviert ist?

Die lange Version:

Dies betrifft ein Macbook Pro mit Mountain Lion, bei dem der Benutzer sein Benutzerkennwort geändert hat und sich weder an das ursprüngliche Kennwort noch an das geänderte Kennwort erinnern kann. Alles, woran sie sich über die Passwörter erinnern, war, dass sie keine echten Wörter waren, da sie Akronyme des ersten Buchstabens jedes Wortes in einem Satz waren (an den er sich auch nicht erinnert), Klein- und Großbuchstaben und wahrscheinlich einige Symbole enthielten. Es kann zwischen 4 und 9 Zeichen lang sein. Um wieder Zugriff auf den Computer zu erhalten, habe ich im Einzelbenutzermodus gebootet und mir ein Administratorkonto erstellt und dann dieses Konto verwendet, um das Anmeldekennwort des ursprünglichen Benutzers zu ändern. Wenn sich der ursprüngliche Benutzer jetzt mit dem neuen Passwort anmeldet, wird ihm mitgeteilt, dass sein Filevault-Passwort nicht sein Anmeldepasswort ist und dass er das alte Passwort eingeben muss, bevor er sich überhaupt anmelden kann. Problem ist natürlich er erinnert sich nicht daran. Nein, er kennt den Filevault-Master-Wiederherstellungscode.

Folgendes glaube ich bisher zu wissen: Es wäre sinnlos, das Benutzerkennwort zu knacken, da es bereits bekannt ist. Bei Schlüsselanhängern bin ich immer noch etwas skeptisch, aber sie speichern nur das aktuelle Passwort, richtig? Anmeldekennwörter früherer Benutzer werden nirgendwo gespeichert, oder?

Apropos Schlüsselbund, ich habe sowohl den öffentlichen als auch den privaten Schlüssel für den Master-Filevault-Schlüsselbund. Kann ich damit irgendetwas tun, um den Filevault-Master-Schlüsselbund zu entsperren, ohne das Filevault-Passwort zu kennen? Oder kann ich diese irgendwie verwenden, um das Sparsebundle zu dekodieren?

Auf dem Macbook Pro läuft OSX Mountain Lion, aber Filevault 2 ist NICHT aktiviert, nur der Benutzerordner ist verschlüsselt und existiert als Sparsebundle. Ich habe die Berechtigungen geändert, damit ich auf das Sparsebundle zugreifen kann ... Soweit ich weiß, könnte ich entweder versuchen, den Schlüsselbund master.filevault oder das Sparsebundle selbst zu knacken. Aus etwas, das ich gelesen habe, gehe ich hervor, dass der Hash des Sparsebundle möglicherweise ungesalzen ist, weil es sich um einen aktualisierten Mac handelt? Ich nehme an, das bedeutete, weil es in einer älteren Version von OSX berechnet wurde, die die Hashes nicht salzte, aber ich weiß es nicht wirklich.

In Bezug auf den master.filevault-Schlüsselbund ist der Hash im Klartext, umgeben von Nullen, richtig? Es ist nicht wirklich wichtig, nehme ich an, da der Versuch, es zu knacken, wahrscheinlich zu schwierig wäre, da ich es nur mit Groß- und Kleinbuchstaben, Symbolen und 4-9 Zeichen brutal erzwingen müsste. Ich habe einen forensischen Computer mit 3xATI-Grafikkarten bereit und wartend, aber er sagte ungefähr 320.000 Jahre. (Nebenfrage: Ist es möglich, eine Wörterbuchliste als Wörter zu verwenden, die das Passwort NICHT sein wird? Das Passwort hier war, wenn Sie sich erinnern, der erste Buchstabe jedes Wortes eines Satzes, also ist es definitiv KEIN englisches Wort oder eine Variante davon eins.)

Also werde ich wohl versuchen, das Sparseimage-Bundle zu knacken; Kann mir jemand sagen, wie ich den Hash dafür bekomme? Ist es wirklich in /private/var/db/shadow unter der GUID des Benutzers? Ist dies der Hash des Filevault-Passworts für den Benutzer oder nur das Anmeldepasswort des Benutzers? Was ich gelesen habe, war an diesem Punkt etwas unklar und die Anweisungen zum Abrufen des Hashs aus der GUID-Datei waren etwas verwirrend.

Was ich frage, nehme ich an, ist, ob mir jemand helfen kann; Alles, was ich wirklich tun möchte / muss, ist in der Lage zu sein, den Benutzerordner zu entschlüsseln, damit auf seine Daten wieder zugegriffen werden kann. Ob dies durch das Entsperren des filevault.master-Schlüsselbunds, das Verwenden des privaten Schlüssels und des Zertifikats des filevault.master-Schlüsselbunds zum Gewähren des Zugriffs, das Knacken des Passworts des Sparsebundle-Images oder was auch immer geschieht, ist mir egal. Wenn Sie wissen, wie ich das hinbekomme, bin ich ganz Ohr.

Übrigens, ich habe irgendwo gesehen, dass Apple das Filevault-Passwort mit Ihrer Apple-ID zurücksetzen kann? Gilt dies nur für die vollständige Festplattenverschlüsselung von FileVault 2 oder gilt es für alle mit FileVault codierten Dateien/Ordner? Funktioniert es nur auf Maverick? Ich würde es lieben, wenn das wahr wäre, da seine Apple-ID vielleicht das EINZIGE Passwort ist, an das er sich tatsächlich erinnert.

Jede Hilfe wäre willkommen - danke im Voraus für die Antwort ;)

Ihre eigene Antwort auf apple.stackexchange.com/questions/80060/… hilft hier nicht weiter?
Nein, wenn ich versuche, die Datei zu öffnen, die den Hash enthält, sieht es nicht so aus wie im Beispiel ... keine schönen 00er und dann Oktekte - es gibt irgendwie überall Zeug, so dass ich nicht sicher war, wo der Hash ist ... Ich werde nochmal hingehen und nachsehen, aber vielleicht war ich nur blöd, als ich es vorhin angeschaut habe
Eigentlich hilft es nicht (denke ich), weil es davon ausgeht, dass das Benutzerpasswort mit dem Filevault-Passwort identisch ist (was in diesem Fall nicht der Fall ist) und Ihnen sagt, wie Sie den Benutzerpasswort-Hash erhalten. Da war ich mir unsicher.
@Ron Kyle: Es ist eine Weile her, wie endete die Geschichte? Ich habe mir eine angeschaut FileVaultMaster.keychainund konnte die interne Struktur der Datei nicht bestimmen und wo sich der Hash befinden könnte, da ich mehrere Abschnitte gefunden habe, die schlüsselartiges Hex-Garble enthalten. In Bezug auf Ihre Nebenfrage, ein Wörterbuch als nicht zu versuchenden Filter zu verwenden: Ich glaube nicht, dass dies möglich ist, und die Berücksichtigung der möglichen Auswirkungen auf die Leistung der pwd-Kandidatengeneration ist wahrscheinlich wenig sinnvoll. Oh, und Passware (tm) scheint in der Lage zu sein, das FVMaster.keychain pwd irgendwie wiederherzustellen, aber ziemlich langsam/ohne GPU zu verwenden.

Antworten (1)

Wenn Sie FileVaultMaster.keychain entsperren können, können Sie möglicherweise die Daten des Benutzers aus dem verschlüsselten Disk-Image wiederherstellen. Ich habe hier eine Anleitung im PDF-Format:

https://app.box.com/s/g3z57u54xc3fz6sr1tfn

Der Abschnitt, auf den Sie verweisen sollten, ist der Abschnitt FileVault-Wiederherstellung über die Befehlszeile der Dokumentation Abschnitt VII: Fehlerbehebung bei FileVault . Dieser Abschnitt behandelt die Fehlerbehebung und Datenwiederherstellung für Legacy-FileVault.

Okay, hier ist meine Frage. Wenn ich das Filevault-Master-Passwort zurücksetze, indem ich den Schlüsselbund lösche, funktioniert der Filevault-Master-Schlüsselbund/das Passwort dann, um das Sparsebundle zu entschlüsseln? Das Sparsebundle ist der Benutzerordner eines Benutzers, für den Filevault NICHT aktiviert ist. Danke.
Nein, wird es nicht, um meine eigene Frage zu beantworten.
Leider bedeutet das Löschen des vorhandenen Schlüsselbunds, dass die Wiederherstellungsoption, die FileVaultMaster.keychain jetzt nutzt, nicht funktioniert. Dies liegt daran, dass der Inhalt von FileVaultMaster.keychain die Wiederherstellung tatsächlich durchführt. FileVaultMaster.keychain ist ein FileVault-spezifischer Schlüsselbund, dessen Inhalt ein SSL-Zertifikat und ein privater Schlüssel sind. Diese beiden Schlüssel werden speziell für die zertifikatbasierte FileVault-Authentifizierung verwendet. Wenn beide Schlüssel verfügbar sind, können Sie sie verwenden, um die verschlüsselte Sparsebundle-Verschlüsselung zu entsperren oder zu entschlüsseln, ohne das Passwort des mit FileVault verschlüsselten Kontos zu kennen.
WIRKLICH? Das habe ich versucht herauszufinden; Ich hatte wirklich das Gefühl, dass das möglich sein sollte. Ich habe sowohl den öffentlichen als auch den privaten Schlüssel, aber anscheinend bin ich ein Dummkopf, der nicht herausfinden kann, wie man sie benutzt, und wenn ich nach Informationen über öffentliche und private Schlüssel usw. suche, habe ich NICHTS darüber gefunden, wie man den benutzt Schlüssel zusammen, um das Passwort NICHT kennen zu müssen. Ich dachte mir, dass dies bedeutet, dass es entweder nicht möglich war oder dass es so bekannt und weithin bekannt war, dass sich niemand die Mühe gemacht hat, es irgendwo zu erklären. Oh warte, musst du das Filevault-Master-Passwort kennen und die master.keychain entsperren, um es zu tun?
Leider ist die filevaultmaster.keychain 1024-Bit-codiert, daher habe ich wenig bis gar keine Chance, DAS JEDER Brute-Force zu erzwingen ... Ich denke, das verschlüsselte Sparsebundle ist nur eine 128-Bit-Verschlüsselung und in Reichweite meines Cracking-Rigs. Ich hatte jedoch kein Glück, den Hash dieses Passworts im Sparsebundle zu finden. Ich habe herausgefunden, wo Sie die Token-Datei mit dem ersten Band verbinden und sie dann in einem Hex-Editor ansehen, ein oder zwei Bit ändern und dann soll dmg2john.py etwas ziehen (NICHT den gehashten Pass, denke ich), das JohnTheRipper kann verwenden, um den Pass zu knacken. Kennst du noch andere Möglichkeiten?
Das Master-Passwort ist das Passwort zum Entsperren von FileVaultMaster.keychain. Leider können Sie ohne dieses Passwort den FileVaultMaster-Schlüsselbund nicht entsperren. Ohne diesen Schlüsselbund oder das Kontokennwort für das verschlüsselte Konto entsperren zu können, kenne ich keine Möglichkeit, das Sparsebundle ohne einen Brute-Force-Angriff zu entsperren.
So greifen Sie mit vergessenem Passwort auf ein FileVault-verschlüsseltes Home-Verzeichnis zu
AntwortenHierDatenschutz-Bestimmungen1y, 2v