Сброс паролей keychain-файлов
Система изменит пароль файла login.keychain, только если пользователь знает свой текущий пароль учетной записи и решает изменить его. Для обеспечения максимальной безопасности пароли keychain-файлов нельзя изменить никаким внешним процессом сброса паролей. Apple создала систему keychain-файлов без «черного хода», иначе система стала бы значительно менее безопасной.
Следовательно, всякий раз, когда администратор сбрасывает пароль учетной записи пользователя, пароль keychain-файла изменяться не будет, а сам файл login.keychain не будет автоматически открываться при входе пользователя в систему. Однако по умолчанию в Lion, когда пользователь с недавно сброшенным паролем входит в систему, ему выдается диалоговое окно с предложением обновить пароль файла login.keychain или создать новый keychain-файл.
Совет. Диалоговое окно синхронизации keychain-файла можно отключить на вкладке Первая помощь (First Aid) настроек приложения Связка ключей (Keychain Access).
Выбранный по умолчанию вариант Обновить пароль (Update Keychain Password будет работать, если только пользователь знает предыдущий пароль keychain-файла. Это отличается от ситуации, когда пользователь только что сбросил пароль. Здесь пользователь может щелкнуть на кнопке Новая связка ключей (Create New Keychain), чтобы создать новый файл login.keychain. Система переименует старый файл login.keychain и оставит его в папке ~/Библиотеки/Keychains (~/Library/Keychains) пользователя на случай, если пользователь вспомнит свой старый пароль. Наконец, пользователь может просто проигнорировать предупреждение, щелкнув на кнопке Продолжить вход (Continue log in).
Если диалоговое окно автоматической синхронизации keychain-файлов не появилось, вы все равно можете сбросить пароль файла login, keychain из приложения Keychain Access (если конечно, помните предыдущий пароль keychain-файла). Если предыдущий пароль keychain-файла пользователя неизвестен, то содержимое этого keychain-файла будет потеряно навсегда.
6. Изменение пароля основной учетной записи
Типична ситуация, когда выполняется автоматический вход под учетной записью основного пользователя и мастер-пароль для системы не задан. Все это с большой вероятностью приводит к тому, что владельцы компьютеров Мас в конечном счете забывают свой пароль основной учетной записи администратора и не имеют никакой возможности восстановить его, так как никогда не создавали мастер-пароль или другую учетную запись администратора. Компания Apple предусмотрела возможность такого сценария и включила утилиту Сброс пароля (Reset Password) в систему восстановления Lion Recovery.
Чтобы сбросить пароль основной учетной записи, выполните следующие действия.
1.Загрузите Маc с системы восстановления Lion Recovery. Самый легкий способ сделать это - удерживать нажатой комбинацию клавиш [Command]+[R] во время загрузки.
2. Когда запустится система восстановления Lion Recovery, выберите в строке меню команду Утилиты > Терминал (Utilities > Terminal).
3. В окне терминала введите resetpassword и нажмите клавишу [Return]. Эта команда открывает утилиту Сброс пароля (Reset Password).
4. Выберите системный диск, на котором хранится недоступная учетная запись основного пользователя, пароль которой нужно сбросить.
5. Выберите имя недоступной учетной записи основного пользователя в раскрывающемся списке.
6. В соответствующие поля введите новый пароль и повторите его, а также при желании укажите подсказку к паролю.
7. Щелкните на кнопке Сохранить (Save), чтобы сохранить новый пароль.
8. Закройте утилиту Сброс пароля (Reset Password), чтобы вернуться в окно Утилиты Mac OS X (Mac OS X Utilities).
9. Закройте окно Утилиты Mac OS X (Mac OS X Utilities), чтобы перезагрузить Mac.
Совет. Можно использовать утилиту Reset Password для восстановления прав доступа к домашней папке и списков контроля доступа (ACL) для выбранной учетной записи, щелкнув на кнопке Reset.
Утилита Reset Password является довольно опасным приложением, которое может полностью уничтожить любой из параметров безопасности, которые вы настроили для защиты Маc. Поэтому она не станет работать, будучи скопированной с оригинальных носителей, однако любой пользователь с доступом к Lion Recovery может воспользоваться этой утилитой. Apple предусмотрел эту ситуацию, предоставив еще одну утилиту по восстановлению Lion - Утилиту пароля прошивки (Firmware Password Utility). Эта утилита предотвращает проникновение неавторизованных пользователей в обход нормального запуска системы.
Рекомендуемая литература:1[118-152],3[666-706]
Контрольные вопросы к теме: «Основы обеспечения безопасности учетных записей»
1. Какие риски безопасности связаны с каждым типом учетной записи пользователя?
2. Что делает связка ключей?
3. Как старая версия системы FileVault защищает данные пользователя?
4. Как сброс мастер-пароля влияет на существующие учетные записи пользователей, защищаемые старой версией системы FileVault?
5. Что происходит со связками ключей пользователя, когда администратор сбрасывает пароль этого пользователя?
6. Как Утилита пароля прошивки (Firmware Password Utility) помогает предотвратить неавторизованное изменение паролей пользователей?