我想为我的 FileVault 2 全盘加密(以及存储在网络驱动器上的加密 Time Machine 备份)使用一个非常长(超过 20 个字符)的强密码,这样可以防止磁盘落入坏人之手时遭到暴力攻击。我不担心冷启动攻击或试图物理冻结内存并直接访问其内容等。
但是,我不想每次解锁屏幕保护程序或sudo在终端时都必须输入很长的密码 - 一个中等强度(且更短)的密码就足够了。
我怎样才能以某种方式进行配置,以便在 Mac 运行时我可以使用短密码,但在启动时解锁时只有长密码才有效?
答案1
如果您想要一个强密码来加密磁盘,并为您的帐户设置一个较弱的密码:
- 将磁盘复制到外部磁盘(即使用副本克隆器)
- 从外部磁盘启动
- 打开磁盘实用程序并加密您的内部磁盘
- 挂载内部磁盘
- 将外部磁盘克隆到内部磁盘
现在您不需要辅助帐户。
答案2
解决方案的关键在此处描述(同时感谢@Daniel Beck 的指导): http://www.tuaw.com/2011/12/12/prevent-certain-accounts-from-unlocking-filevault-2/
简而言之:
- 创建一个具有强密码的辅助帐户
- 通过终端删除主账户密码
passwd - 重新添加主账户密码没有启用它以解锁磁盘
- 使用辅助帐户启动,然后注销并使用主帐户重新登录