FileVault 2 guarda la contraseña principal incluso después de apagarla?

Navega tus respuestas
2

Había configurado el cifrado FileVault 2 mientras utilizaba una contraseña de usuario larga y segura, y luego cambié la contraseña de usuario a una más corta. La primera vez pareció que todo funcionaba como esperaba: OS X pide una contraseña larga al encenderla (porque esta contraseña se utilizó para cifrar todo), y luego puedo desbloquear mi equipo con una contraseña más corta.

Pero hoy me di cuenta de que puedo usar una contraseña corta incluso después de apagar el sistema. ¡Esto parece muy sospechoso! ¿Por qué sucedió y cómo puedo asegurarme de que cuando está apagado, el sistema está protegido por una contraseña larga?

Estoy usando OS X Mavericks 10.9.4.

    
pregunta Sarge Borsch 01.07.2014 - 21:40

2 respuestas

2

FileVault debe usar la contraseña actual para su cuenta. Cuando cambie la contraseña de su cuenta de usuario, FileVault se actualizará con la nueva contraseña.

Podemos obtener lo que usted desea, una contraseña larga de FileVault y una contraseña corta de la cuenta de usuario, mediante la creación de dos cuentas de usuario.

Cuando habilita FileVault por primera vez, solo la cuenta de usuario que usa para iniciar FileVault se configurará para desbloquear FileVault. Puede usar las Preferencias del sistema de FileVault para agregar otras cuentas para desbloquear FileVault seleccionando el usuario y ingresando su contraseña.

Después de habilitar FileVault, cualquier nuevo usuario creado automáticamente podrá desbloquear FileVault.

Para lograr su objetivo de tener una contraseña de FileVault muy fuerte y una contraseña de Usuario más fácil de usar, necesitamos crear un Usuario con una contraseña segura específicamente para desbloquear FileVault y eliminar a todos los demás usuarios de FileVault.

Digamos que has habilitado FileVault. Su cuenta actual es frank , y ha hecho que la contraseña de usuario de frank sea fácil de escribir.

Ahora cree una nueva cuenta de usuario betty con una contraseña segura. betty se agregará automáticamente para desbloquear FileVault, y el único propósito de esta cuenta será desbloquear FileVault, no necesitaremos usar la cuenta para nada más.

Desde la línea de comandos, podemos enumerar a los usuarios que están configurados para desbloquear FileVault: 

$ sudo fdesetup list
betty,########-####-####-####-############
frank,########-####-####-####-############

Aquí los # 's son los UUID

Las preferencias del sistema FileVault le permiten agregar cuentas para desbloquear, pero necesita usar la línea de comandos para eliminar usuarios de esta lista. Vamos a eliminar frank : 

$ sudo fdesetup remove -user frank

Y verifique que funcionó: 

$ sudo fdesetup list
betty,########-####-####-####-############

Ahora solo betty puede desbloquear FileVault. (Bueno, por supuesto, también está la clave de recuperación).

Si alguna vez agrega otra nueva cuenta de usuario, deberá recordar eliminarlos de FileVault.

Además, si desea asegurarse de que betty se use solo para desbloquear el disco (impedir el inicio de sesión), puede desactivar su capacidad de inicio de sesión cambiando su shell de inicio de sesión a /usr/bin/false como se describe en esta respuesta .

Editar para agregar:

Echa un vistazo a Uso de fdesetup con el archivo de Mountain Lion'sVault 2 que proporciona muchos detalles sobre el comando fdesetup .

    
respondido por el Lee Joramo 02.07.2014 - 15:24
0

El almacén de archivos 2 usa una contraseña maestra (probablemente su contraseña larga / segura), pero también permite que cualquier usuario habilitado desbloquee la unidad del sistema, con contraseña segura o no. Los únicos usuarios que no puede habilitar para desbloquear la unidad son los usuarios sin contraseña.

Recuerdo que hace un tiempo leí una vulnerabilidad de almacenamiento de archivos en la que un atacante podría comprometer una cuenta de ID de Apple y forzar el restablecimiento de la contraseña en una cuenta de usuario que podría desbloquear un sistema protegido de 2 archivos. El atacante luego iniciará sesión en el sistema y desbloqueará la unidad protegida con la nueva contraseña que crearon previamente.

    
respondido por el Brian Duke 02.07.2014 - 01:40

Lea otras preguntas en las etiquetas

¿Cuál es la forma más rápida de enviar un mensaje de texto desde una computadora de escritorio / computadora portátil a un iPhone? ¿Hay algún fan en el nuevo Airport Extreme?