FileVault 2 memorizza la password principale anche dopo lo spegnimento?

2

Avevo impostato la crittografia di FileVault 2 mentre usavo una password utente lunga e strong, e successivamente ho cambiato la password dell'utente in una più corta. A prima vista sembrava che tutto funzionasse come mi aspetto: OS X richiede una password lunga all'accensione (perché questa password è stata utilizzata per crittografare tutto) e in seguito posso sbloccare la mia attrezzatura con una password più corta.

Ma oggi ho notato che posso usare una password corta anche dopo che il sistema è stato spento. Questo sembra molto sospetto! Perché è successo e come posso assicurarmi che, una volta spento, il sistema sia protetto dalla lunga password?

Sto usando OS X Mavericks 10.9.4.

    
posta Sarge Borsch 01.07.2014 - 21:40
fonte

2 risposte

2

FileVault dovrebbe usare qualunque sia la password corrente per il tuo account. Quando si modifica la password degli account utente, FileVault verrà aggiornato con la nuova password.

Possiamo ottenere ciò che desideri: una lunga password FileVault e una password dell'account utente breve, creando due account utente.

Quando si attiva per la prima volta FileVault, solo l'account utente che si utilizza per avviare FileVault verrà configurato per sbloccare FileVault. È possibile utilizzare le preferenze di sistema di FileVault per aggiungere altri account per sbloccare FileVault selezionando l'utente e inserendo la propria password.

Dopo che FileVault è stato abilitato, a tutti i nuovi utenti creati verrà automaticamente consentito lo sblocco di FileVault.

Per raggiungere il tuo obiettivo di avere una password FileVault molto strong e una password utente più semplice da utilizzare, dobbiamo creare un utente con una password sicura appositamente per sbloccare FileVault e rimuovere tutti gli altri utenti da FileVault.

Diciamo che hai abilitato FileVault. Il tuo account corrente è frank , e hai reso facile la digitazione della password utente di frank .

Ora crea un nuovo account utente betty con una password complessa. betty verrà automaticamente aggiunto per sbloccare FileVault, e l'unico scopo di questo account sarà di sbloccare FileVault, non sarà necessario utilizzare l'account per altro.

Dalla riga di comando, possiamo elencare gli utenti che sono impostati per sbloccare FileVault:

$ sudo fdesetup list
betty,########-####-####-####-############
frank,########-####-####-####-############

Qui i # sono UUID

Le preferenze del sistema FileVault ti consentono di aggiungere account da sbloccare, ma devi usare la riga di comando per rimuovere utenti da questo elenco. Rimuovere frank :

$ sudo fdesetup remove -user frank

Verifica che funzioni:

$ sudo fdesetup list
betty,########-####-####-####-############

Ora solo betty può sbloccare FileVault. (Be ', certo, c'è anche la chiave di recupero.)

Se aggiungi mai un altro nuovo account utente, dovrai ricordarti di rimuoverli da FileVault.

Inoltre, se vuoi assicurarti che betty sia usato solo per lo sblocco del disco (impedisci il login), puoi disabilitare la sua capacità di accedere cambiando la sua shell di login a /usr/bin/false come descritto in questa risposta .

Modifica per aggiungere:

Controlla Usando fdesetup con FileVault 2 di Mountain Lion che fornisce molti dettagli sul comando fdesetup .

    
risposta data 02.07.2014 - 15:24
fonte
0

File vault 2 utilizza una password principale (probabilmente la tua password lunga / strong), ma consente anche a qualsiasi utente abilitato di sbloccare l'unità di sistema, password complessa o meno. Gli unici utenti che non è possibile abilitare per sbloccare l'unità sono utenti senza password.

Ricordo di aver letto una vulnerabilità del vault del file in cui un utente malintenzionato avrebbe compromesso un account id apple e imposto una reimpostazione della password su un account utente in grado di sbloccare un sistema protetto da vault 2. L'utente malintenzionato dovrebbe quindi accedere al sistema e sbloccare l'unità protetta con la nuova password precedentemente creata.

    
risposta data 02.07.2014 - 01:40
fonte

Leggi altre domande sui tag