FileVault 2 zwischenspeichert das Hauptpasswort auch nach dem Ausschalten?

Ich habe die FileVault 2-Verschlüsselung eingerichtet, während ich das Kennwort für lange und starke Benutzer verwendet habe, und später das Benutzerpasswort auf ein kürzeres geändert. Beim ersten Mal schien alles so zu laufen, wie ich es erwartet habe: OS X fragt beim Einschalten nach einem langen Passwort (weil dieses Passwort zum Verschlüsseln verwendet wurde) und später kann ich meine Ausrüstung mit einem kürzeren Passwort entsperren.

Aber heute habe ich bemerkt, dass ich auch nach dem Herunterfahren des Systems ein kurzes Passwort verwenden kann. Das scheint sehr verdächtig zu sein! Warum ist es passiert und wie kann ich sicherstellen, dass das System beim Ausschalten durch das lange Passwort geschützt ist?

Ich benutze OS X Mavericks 10.9.4.

2 Solutions collect form web for “FileVault 2 zwischenspeichert das Hauptpasswort auch nach dem Ausschalten?”

FileVault sollte das aktuelle Passwort für Ihr Konto verwenden. Wenn Sie das Benutzerkontokennwort ändern, wird FileVault mit dem neuen Kennwort aktualisiert.

Wir können das bekommen, was Sie wollen – ein langes FileVault-Passwort und ein kurzes Benutzerkennwort – indem Sie zwei Benutzerkonten anlegen.

Wenn Sie FileVault zum ersten Mal aktivieren, wird nur das Benutzerkonto eingerichtet, das Sie zum Starten von FileVault verwenden, um FileVault zu entsperren. Sie können die filevault-Systemeinstellungen verwenden, um andere Konten hinzuzufügen, um FileVault zu entsperren, indem Sie den Benutzer auswählen und sein Kennwort eingeben.

Nachdem FileVault aktiviert wurde, können neue Benutzer FileVault automatisch entsperren.

Um Ihr Ziel zu erreichen, ein sehr starkes FileVault-Passwort und ein einfacher zu verwendendes Benutzerpasswort zu haben, müssen wir einen Benutzer mit einem starken Passwort speziell zum Entsperren von FileVault erstellen und alle anderen Benutzer aus FileVault entfernen.

Angenommen, Sie haben FileVault aktiviert. Ihr aktuelles Konto ist frank und Sie haben das Benutzerpasswort von frank einfach eingegeben.

Erstellen Sie nun ein neues Benutzerkonto betty mit einem starken Passwort. betty wird automatisch hinzugefügt, um FileVault zu entsperren, und der einzige Zweck dieses Kontos besteht darin, FileVault zu entsperren. Wir brauchen das Konto für nichts anderes zu verwenden.

Über die Befehlszeile können wir die Benutzer auflisten, die zum Entsperren von FileVault eingerichtet wurden:

 $ sudo fdesetup list betty,########-####-####-####-############ frank,########-####-####-####-############ 

Hier sind die #'s die UUID

Mit den FileVault-Systemeinstellungen können Sie Konten zum Entsperren hinzufügen. Sie müssen jedoch die Befehlszeile verwenden, um Benutzer aus dieser list zu entfernen. Lass uns frank entfernen:

 $ sudo fdesetup remove -user frank 

Und überprüfen Sie das funktioniert:

 $ sudo fdesetup list betty,########-####-####-####-############ 

Jetzt kann nur betty FileVault freischalten. (Natürlich gibt es auch den Wiederherstellungsschlüssel.)

Wenn Sie jemals ein neues Benutzerkonto hinzufügen, müssen Sie daran denken, sie aus FileVault zu entfernen.

Wenn Sie außerdem sicherstellen möchten, dass betty nur zum Entsperren von Festplatten verwendet wird (Login verhindern), können Sie die Anmeldeberechtigung deaktivieren, indem Sie die Login-Shell wie in dieser Antwort beschrieben auf /usr/bin/false .

Bearbeiten um hinzuzufügen:

Check out Verwenden Sie fdesetup mit Mountain Lion's FileVault 2 , das viele Details über den Befehl fdesetup bietet.

File Vault 2 verwendet ein Master-Passwort (wahrscheinlich Ihr langes / starkes Passwort), aber es ermöglicht auch jedem aktivierten Benutzer, das Systemlaufwerk zu entsperren, ein starkes Passwort oder nicht. Die einzigen Benutzer, die Sie nicht zum Entsperren des Laufwerks aktivieren können, sind Benutzer ohne Kennwort.

Ich erinnere mich daran, wie ich vor einiger time eine filetresorverletzung gelesen habe, bei der ein Angreifer ein Apple ID-Konto kompromittiert und ein Kennwort zurückgesetzt hat, das ein Benutzerkonto zurückgesetzt hat, das ein geschütztes System mit filetresor 2 entsperren könnte. Der Angreifer meldet sich dann beim System an und entsperrt das geschützte Laufwerk mit dem neuen Kennwort, das zuvor erstellt wurde.

  • externe Festplatte, die sich nach dem Auscasting während der Verschlüsselung noch dreht
  • FileVault-verschlüsselte Installation ist beschädigt und kann nicht gestartet werden
  • Empfohlenes Setup für: Parallels, Time Machine, security, Windows 7 und MS Visual Studio 2010
  • VeraCrypt - Verschlüsselung von Host Protected Area auf meinem Macbook Pro 13 "
  • Wie (un) verwundbar ist OS X zu Verschlüsselungs-Ransomware?
  • Portabler verschlüsselter USB-Stick
  • Time Machine verschlüsselte Backups
  • Wie kann ZFS mit Verschlüsselung auf OS X verwendet werden?
  • Wie kann ich herausfinden, welcher process von RansomWhere gestoppt wurde?
  • Ist FileVault 2 + SSD + OverProvisioning möglich?
  • Verschlüsselungspasswort sichern