Saya selalu bertanya-tanya bagaimana Mac saya dapat terhubung ke internet ketika partisi pemulihan di-boot dan partisi sistem utama saya terkunci (filevault2).
Beberapa googling mengungkapkan hari ini (mis. Di sini , di sini , dan juga pada askdifferent ) bahwa kata sandi WiFi tampaknya disimpan dalam NVRAM dan yang perlu diatur ulang untuk menghapus kata sandi. Sebagai orang yang sadar akan keamanan, ini tidak dapat saya terima. Saat menggunakan Enkripsi Disk Penuh (yaitu Filevault2) Saya mengharapkan sistem aman, juga terhadap jaringan saya.
Jadi apakah ada cara untuk mencegah OS X membuat kata sandi tersedia di partisi pemulihan? Saya tidak yakin bagaimana atau kapan itu masuk ke NVRAM di tempat pertama.
UPDATE1 : NVRAM berisi kunci-kunci berikut: ( nvram -p
):
BootCampHD
SystemAudioVolume
SystemAudioVolumeDB
aht-results
backlight-level
bluetoothActiveControllerInfo
bluetoothInternalControllerInfo
boot-gamma
efi-apple-recovery
efi-boot-device
efi-boot-device-data
fmm-computer-name
good-samaritan-message
gpu-policy
prev-lang:kbd
Kunci efi-apple-recovery
dan efi-boot-device
sepertinya itu bisa berisi data terenkripsi.
sumber
nvram -p
dapatkah Anda memberi tahu dari output variabel firmware mana yang menahan kata sandi Wi-Fi? Jika ya, Anda dapat menghapus satu variabel saja tanpa mengatur ulang seluruh NVRAM. Gunakansudo nvram -d variable_name
di Terminal.Jawaban:
Saya selalu bertanya-tanya hal yang sama: bagaimana menjaga OS X dari menyimpan frasa sandi WPA (atau PSK) di NVRAM.
Menggunakan 'nvram' saya tidak pernah bisa menemukan variabel yang saya pikir memiliki kredensial ini. Hari ini, saya mencoba mem-boot ke USB live image Linux dan menjalankan Chipsec . Perintahnya untuk membuat daftar variabel EFI memiliki hasil lebih banyak daripada yang saya dapatkan dengan menjalankan nvram di dalam OS X. Di antara variabel di MacBook Pro saya (pertengahan 2010) adalah:
Data variabel jaringan saat ini termasuk SSID dari router rumah saya, dalam plaintext. Kemudian itu diisi dengan 0-byte hingga akhir, yaitu 32 byte, dan mewakili 64 hex hex digit dari Pre-Shared Key (PSK) .
The -jaringan pilihan penampilan variabel seperti isi yang sama seperti saat-jaringan .
The keamanan password variabel memegang persis jumlah yang sama byte sebagai password EFI I set, jadi saya menganggap ini adalah password Firmware Lock. Saya curiga ini menggunakan semacam masking / encoding. Satu teori yang saya miliki adalah bahwa kata sandi ini disimpan sebagai kode pindai keyboard atau sesuatu, tetapi saya belum memiliki informasi yang cukup.
Mungkin dengan menggunakan Chipsec atau alat EFI lainnya, Anda dapat menghilangkan variabel-variabel EFI ini dan menetapkan tanda kontrol akses / izin padanya sehingga tidak dapat ditulis ulang. Mungkin bahkan dengan memadamkannya akan menjadi solusi bagi Anda (jika Anda hanya perlu menjual kembali laptop atau sesuatu). Bagi saya tidak diketahui apakah OS X menulis ulang secara teratur atau hanya ketika Anda mengubah kredensial WPA Anda.
EDIT : Saya baru tahu tentang perintah untuk mengambil kata sandi wifi dari NVRAM:
/usr/libexec/airportd readNVRAM
Juga, dengan melampirkan GUID, nvram dapat benar-benar membaca nilai-nilai ini:
nvram 36C28AB5-6566-4C50-9EBD-CBB920F83843:current-network
nvram 36C28AB5-6566-4C50-9EBD-CBB920F83843:preferred-networks
nvram 36C28AB5-6566-4C50-9EBD-CBB920F83843:preferred-count
Jadi, mungkin Anda bisa menghilangkan variabel-variabel itu dan melihat bagaimana hasilnya.
EDIT 2 : seperti yang disebutkan oleh komentar sebelumnya, metode untuk menghapus variabel EFI adalah sebagai berikut (sudo harus dihapus):
sudo nvram -d 36C28AB5-6566-4C50-9EBD-CBB920F83843:current-network
Masih belum jelas apakah variabel akan kembali.
sumber
/usr/libexec/airportd readNVRAM
ada jaringan saat ini terdaftar tetapiRecovery Networks
daftarnya kosong.