Para facilitar la lectura, la versión corta:
MacBook Pro ejecutando Mountain Lion. Un usuario ha olvidado su contraseña de FileVault y su código de recuperación maestro. FileVault 2 está no habilitado, solo el directorio de inicio del usuario está cifrado y existe como un sparsebundle. Me gustaría romper el rastro disperso pero estoy teniendo problemas para obtener el hash. Todo lo que realmente quiero / necesito hacer es poder decodificar la carpeta del usuario para poder acceder a sus datos nuevamente.
Por cierto, vi en algún lugar que puedes hacer que Apple restablezca la contraseña de FileVault usando tu ID de Apple. ¿Esto es cierto cuando el cifrado de disco completo de FileVault 2 no está habilitado?
La versión larga:
Se trata de un Macbook Pro que ejecuta Mountain Lion, donde el usuario cambió su contraseña de usuario y no puede recordar ni la contraseña original ni la contraseña a la que se cambió. Todo lo que recuerdan de las contraseñas era que no eran palabras reales, ya que eran acrónimos de la primera letra de cada palabra en una oración (que él tampoco recuerda), más abajo y en mayúsculas y probablemente contenían algunos símbolos. Podría tener entre 4 y 9 caracteres. Para recuperar el acceso a la computadora, inicié el modo de usuario único y me hice una cuenta de administrador, luego usé esa cuenta para cambiar la contraseña de inicio de sesión del usuario original. Ahora, cuando el usuario original inicia sesión con la nueva contraseña, se le dice que su contraseña de archivo no es su contraseña de inicio de sesión y que debe ingresar la contraseña anterior antes de que pueda iniciar sesión. El problema es, por supuesto, que no lo recuerda. No, él sabe el código de recuperación maestra de archivo.
Esto es lo que creo que sé hasta ahora: Sería inútil descifrar la contraseña del usuario, ya que ya se conoce. Todavía tengo dudas sobre los llaveros, pero solo almacenan la contraseña actual, ¿correcto? Las contraseñas de inicio de sesión de usuarios anteriores no se almacenan en ninguna parte, ¿no?
Hablando de llaveros, tengo tanto la clave pública como la privada para el llavero maestro de archivo. ¿Hay algo que pueda hacer con estos para desbloquear el llavero maestro de archivo sin saber la contraseña de archivo? ¿O puedo usarlos de alguna manera para decodificar el sparsebundle?
El Macbook Pro está ejecutando OSX Mountain Lion pero filevault 2 NO está habilitado, solo la carpeta del usuario está encriptada y existe como un sparsebundle. Cambié los permisos para poder acceder al sparsebundle ... por lo que entiendo, podría intentar romper el llavero master.filevault o el propio sparsebundle. Por algo que leí, me llevan a creer que el hachajo del botín podría estar sin sal porque es una Mac mejorada. Supongo que eso significaba porque se calculó en una versión anterior de OSX que no salpicaba los hashes, pero realmente no lo sé.
Con respecto al llavero master.filevault, el hash está en texto simple, rodeado de ceros, ¿correcto? Supongo que no importa en realidad, ya que tratar de descifrarlo probablemente sería demasiado difícil, ya que solo tengo que usar fuerza bruta con letras mayúsculas y minúsculas, símbolos y 4-9 caracteres. Tengo una computadora forense con 3xATI tarjetas de video listas y en espera, pero decía algo así como 320,000 años. (Pregunta paralela: ¿es posible usar una lista de diccionarios como palabras que la contraseña NO será? La contraseña aquí, si recuerda, fue la primera letra de cada palabra de alguna frase, por lo que definitivamente NO es una palabra en inglés o una variante de uno.)
Por lo tanto, supongo que voy a intentar romper el paquete de imagen dispersa; ¿Alguien puede decirme cómo obtener el hachís por ello? ¿Está realmente en / private / var / db / shadow bajo el GUID del usuario? ¿Es este el hash de la contraseña de archivo para el usuario o solo de la contraseña de inicio de sesión del usuario? Lo que leí no estaba muy claro en ese punto y las instrucciones sobre cómo extraer el hash del archivo GUID eran un poco confusas.
Lo que pregunto, supongo, es si alguien puede ayudarme; todo lo que realmente quiero / necesito hacer es poder decodificar la carpeta del usuario para poder acceder a sus datos nuevamente. Ya sea desbloqueando el llavero filevault.master, de alguna manera utilizando la clave privada y el certificado del llavero filevault.master para otorgar el acceso, descifrando la contraseña de la imagen spundbundle o cualquier otra cosa, no me importa. Si sabes cómo puedo hacerlo, soy todo oídos.
Por cierto, vi en algún lugar que puedes hacer que Apple restablezca la contraseña de archivo con tu ID de Apple. ¿Esto es solo para el cifrado de todo el disco de filevault 2, o se aplica a todos los archivos / carpetas codificados con filevault? ¿Solo funciona en Maverick? Me encantaría que esto sea cierto, ya que su ID de Apple es quizás la ÚNICA contraseña que realmente recuerda.
Cualquier ayuda sería bienvenida, gracias de antemano por la respuesta;)