¿A qué puede acceder un atacante que haya restablecido la contraseña de administrador?

Si FileVault está habilitado, el arranque en el modo de usuario único requiere una contraseña, por lo que ninguno de los métodos de para restablecer la contraseña en un solo trabajo en modo usuario .

Como han mencionado otros, restablecer la contraseña de inicio de sesión no restablece la contraseña del llavero de inicio de sesión. Intenté restablecer la contraseña de inicio de sesión hace unos meses. Podría acceder a la mayoría de los archivos normalmente, pero no a mi cuenta en Mail.app ni a las contraseñas completadas automáticamente en Safari. Pero podía acceder a mi cuenta de Gmail desde Safari porque la había configurado para iniciar sesión automáticamente.

La contraseña de inicio de sesión ( pero no la contraseña del llavero de inicio de sesión ) también se puede restablecer con un Apple ID . Hay una casilla de verificación para permitir eso al crear una cuenta. Creo que fue verificado por defecto. La opción se puede desactivar más adelante en Usuarios y aplicaciones; Panel de preferencias de grupos. Si la opción estaba habilitada antes de activar FileVault, no puede deshabilitarla sin desactivar y volver a activar FileVault. Vea Michael Tsai - Blog - Backdoor ID de FileVault 2 .

  

1. ¿Todas las cuentas de usuario siguen presentes?

Sí. Y todas sus contraseñas se pueden cambiar por separado, o desde los Usuarios & Agrupa las preferencias después de iniciar sesión en (o crear) una cuenta de administrador.

  

2. ¿Están todos los llaveros todavía presentes, o se restablecen o borran como parte del proceso de creación de contraseña?

Los llaveros no se eliminan, pero el llavero de inicio de sesión no se desbloquea automáticamente después de restablecer la contraseña de inicio de sesión.

  

3. Si los llaveros todavía están presentes, ¿el administrador (nuevo) tiene acceso al contenido de los llaveros existentes?

No sin conocer sus contraseñas.

  

4. ¿Se borraron o restablecieron algunos archivos (aparte de los llaveros) como parte del proceso?

No lo sé, pero puedes acceder a la mayoría de los archivos normalmente.

Si alguien tiene su cuenta de administrador, todo el contenido de la máquina es accesible para ellos. La gente en los círculos de seguridad de TI dice "Acceso físico = Acceso total".

Los llaveros solo se pueden desbloquear con la contraseña del llavero. Si se cambia / actualiza una contraseña de la cuenta sin haber iniciado sesión en la cuenta Y NO se ha desbloqueado el llavero correspondiente , la contraseña del llavero no cambia.

Lo que significa que alguien podría obtener acceso a su cuenta tal vez, pero no a su llavero, sin la contraseña original. Las contraseñas de la cuenta y del llavero no están sincronizadas entre sí.

La protección de FileVault de forma similar, permanecerá en su lugar hasta que se desbloquee con la contraseña correcta. No creo que tener acceso de root en la máquina te permita desbloquear el llavero o la cuenta del almacén de archivos sin las contraseñas relevantes ... ese es el punto.

Por supuesto, en teoría, un pirata informático con habilidades divinas, paciencia y conocimiento podría editar manualmente los archivos de contraseña relevantes para que sean lo que él / ella deseara que fueran (si tuvieran acceso de root), pero las probabilidades de que esto ocurra están en algún lugar entre cero y cero.

He pasado por esto recientemente con la computadora de un amigo. Una vez que la persona tiene la contraseña de administrador, puede habilitar el acceso de raíz. Entonces todo está disponible. Creo que Root anula incluso FileVault. (Esa es una pregunta).