Как найти ключ восстановления FileVault в macOS
Параметр FileVault в macOS — это фантастический способ повысить безопасность хранимых данных. Это полное шифрование диска (FDE), означающее, что весь ваш загрузочный том блокируется, когда macOS закрывается (а не просто спит) с использованием надежного шифрования. Без пароля, который разблокирует учетную запись на вашем Mac, авторизованную для входа в FileVault, нет эффективного способа оживить этот компьютер.
Однако это проблема, если вы забудете пароль ко всем авторизованным учетным записям или, в некоторых случаях, я получил несколько писем о том, что что-то пойдет не так, и диск восстановления — используется как для «холодного запуска» входа в macOS, так и для диагностировать проблемы на вашем загрузочном томе – требует входа в систему, который не работает.
В этих случаях ключ восстановления, установленный при включении FileVault на вашем Mac, может помочь. Но если прошло достаточно времени, вы могли забыть, где спрятали ключ или как его получить. Читатель Macworld Элейн попадает в этот лагерь. Она не может найти ключ и помнит, что использовала опцию iCloud для его хранения, но проверила iCloud Drive и не может его найти. Она еще не была в ситуации, когда ей это нужно, но она обеспокоена тем, что вы можете оказаться заблокированным и не сможете получить ключ восстановления.
Это проблема с параметрами безопасности в системах, достаточно надежных, чтобы вам не приходилось регулярно работать с ними, чтобы освежить память. (И именно поэтому два года назад Apple изменила iOS, требуя от вас ввода парольной фразы каждые шесть дней, даже если у вас включен Touch ID.)
Когда вы впервые настраиваете FileVault на панели настроек системы «Безопасность и конфиденциальность» на вкладке FileVault, на одном из шагов вас спрашивают, хотите ли вы использовать свою учетную запись iCloud для разблокировки диска и сброса пароля учетной записи macOS, если можете. не найти ключ восстановления.
Если вы выберете iCloud, ключ восстановления не будет храниться отдельно в iCloud Drive или в виде файла, а будет привязан к скрытой информации об учетной записи, которую поддерживает Apple. Он полностью зашифрован таким образом, что даже у Apple нет доступа к незашифрованным данным ключа восстановления, но Apple может доставить зашифрованный ключ восстановления на ваш Mac, если вам нужно сбросить пароль. Вы никогда не увидите ключ восстановления и не должны вводить его в этой конфигурации. (Этот процесс немного сложен: Apple описывает его в разделе «Сброс с помощью помощника по сбросу пароля (FileVault должен быть включен)» в этом документе поддержки.)
Если вы выберете другой путь, при котором FileVault генерирует ключ восстановления и отображает его, вам нужно обязательно записать его или ввести в электронном виде и хранить в безопасном месте таким образом, чтобы у вас был доступ, даже если ваш Mac не может не загружаться. Для этой цели я использую защищенные заметки 1Password, но подойдет любой надежный, безопасный и доступный метод хранения.
Хорошей стратегией было бы установить ежеквартальное напоминание о поиске ключа восстановления (и других важных паролей и ключей, которые вы должны хранить в одном месте). Если вы не можете его найти, отключите FileVault в macOS и снова включите его. Это займет некоторое время, так как весь диск будет расшифрован, а затем повторно зашифрован, но macOS сгенерирует совершенно новый ключ восстановления, который затем можно будет более внимательно записать еще раз.
В каждой из вышеперечисленных ситуаций, если вы не можете войти в iCloud или потеряете ключ восстановления, файлы вашего Mac будут безвозвратно потеряны, как я писал в прошлом году.