Configuré el cifrado de FileVault 2 mientras usaba una contraseña de usuario larga y segura, y luego cambié la contraseña de usuario por una más corta. Al principio, parecía que todo funcionaba como esperaba: OS X solicita una contraseña larga al encender (porque esta contraseña se usó para encriptar todo), y luego puedo desbloquear mi equipo con una contraseña más corta.
Pero hoy me di cuenta de que puedo usar una contraseña corta incluso después de apagar el sistema. ¡Esto parece muy sospechoso! ¿Por qué sucedió y cómo puedo asegurarme de que cuando esté apagado, el sistema esté protegido por una contraseña larga?
Estoy usando OS X Mavericks 10.9.4.
FileVault debe usar la contraseña actual de su cuenta. Cuando cambie la contraseña de su cuenta de usuario, FileVault se actualizará con la nueva contraseña.
Podemos obtener lo que desea, una contraseña larga de FileVault y una contraseña corta de cuenta de usuario, creando dos cuentas de usuario.
Cuando habilita FileVault por primera vez, solo la cuenta de usuario que usa para iniciar FileVault se configurará para desbloquear FileVault. Puede usar las Preferencias del sistema de FileVault para agregar otras cuentas para desbloquear FileVault seleccionando el usuario e ingresando su contraseña.
Después de habilitar FileVault, cualquier nuevo usuario creado automáticamente podrá desbloquear FileVault.
Para lograr su objetivo de tener una contraseña de FileVault muy segura y una contraseña de usuario más fácil de usar, necesitamos crear un usuario con una contraseña segura específicamente para desbloquear FileVault y eliminar a todos los demás usuarios de FileVault.
Digamos que ha habilitado FileVault. Su cuenta actual es frank
, y ha frank
facilitado la escritura de la contraseña de usuario.
Ahora cree una nueva cuenta de usuario betty
con una contraseña segura. betty
se agregará automáticamente para desbloquear FileVault, y el único propósito de esta cuenta será desbloquear FileVault, no necesitaremos usar la cuenta para nada más.
Desde la línea de comandos, podemos enumerar los usuarios que están configurados para desbloquear FileVault:
$ sudo fdesetup list
betty,########-####-####-####-############
frank,########-####-####-####-############
Aquí los # son el UUID
Las preferencias del sistema FileVault le permiten agregar cuentas para desbloquear, pero debe usar la línea de comando para eliminar usuarios de esta lista. Quitemos frank
:
$ sudo fdesetup remove -user frank
Y verificar que funcionó:
$ sudo fdesetup list
betty,########-####-####-####-############
Ahora solo betty
puede desbloquear FileVault. (Bueno, por supuesto, también está la clave de recuperación).
Si alguna vez agrega otra cuenta de usuario nueva, deberá recordar eliminarla de FileVault.
Además, si desea asegurarse de que betty
se use solo para desbloquear el disco (evitar el inicio de sesión), puede desactivar su capacidad de inicio de sesión cambiando su shell de inicio de sesión /usr/bin/false
como se describe en esta respuesta .
Editar para agregar:
Consulte Uso de fdesetup con FileVault 2 de Mountain Lion , que proporciona muchos detalles sobre el fdesetup
comando.
betty
este usuario también está conectado, aparece su escritorio, etc., ¿hay alguna manera de evitar esto?betty
, por lo que después de desbloquear el disco, otro usuario debe iniciar sesión.File Vault 2 usa una contraseña maestra (probablemente su contraseña larga/segura), pero también permite que cualquier usuario habilitado desbloquee la unidad del sistema, con contraseña segura o no. Los únicos usuarios que no puede habilitar para desbloquear la unidad son los usuarios sin contraseña.
Recuerdo que hace un tiempo leí una vulnerabilidad de bóveda de archivos en la que un atacante comprometería una cuenta de identificación de Apple y forzaría un restablecimiento de contraseña en una cuenta de usuario que podría desbloquear un sistema protegido de bóveda de archivos 2. Luego, el atacante iniciaría sesión en el sistema y desbloquearía la unidad protegida con la nueva contraseña que creó previamente.
Brian duque
Nombre para mostrar
Nombre para mostrar