Cách tìm khóa khôi phục FileVault của bạn trong macOS

Nếu bị mất thì coi như bạn đã thất vọng, nhưng bạn có thể chọn lưu trữ nó trên iCloud.

Apple ban đầu giới thiệu FileVault để mang lại khả năng bảo vệ mã hóa toàn bộ ổ đĩa (FDE) cho macOS. FDE đảm bảo rằng toàn bộ ổ đĩa khởi động của bạn bị khóa khi macOS tắt (không chỉ ngủ) bằng cách đặt khóa mã hóa cho ổ đĩa. FileVault khóa khóa đó, ghép nối nó với một tài khoản trên máy Mac của bạn được phép đăng nhập sau khi tắt hoàn toàn. Nếu không có khóa đó, sẽ không có cách hiệu quả nào để đưa máy tính đó vào hoạt động.

Bắt đầu với các mẫu máy Mac Intel có Chip bảo mật T2, ổ đĩa khởi động của bạn luôn được mã hóa để FileVault không còn thực hiện nhiệm vụ đó nữa. Điều đó cũng đúng với tất cả các máy Mac dòng M. Với các mẫu máy đó, FileVault chỉ bảo vệ khóa mã hóa của ổ đĩa, một tính năng đủ quan trọng. (Với ổ đĩa được mã hóa bằng phần cứng và FileVault bị vô hiệu hóa, có khả năng có kẻ xấu lấy được máy tính của bạn khi máy đang bật nguồn để truy cập vào các tệp đã lưu trữ của bạn.)

Nếu bạn đã bật FileVault với bất kỳ mẫu máy Mac nào, bạn có thể bị khóa khỏi ổ đĩa của mình mãi mãi trong một số trường hợp nếu bạn chưa thực hiện bước phòng ngừa. Bạn có thể không sử dụng máy Mac trong một thời gian và quên mật khẩu cho bất kỳ tài khoản FileVault nào được ủy quyền. Và, dựa trên một số email tôi đã nhận được, đôi khi việc quản lý tài khoản có thể bị sai và macOS Recovery được sử dụng cho cả việc đăng nhập "khởi động nguội" vào macOS sau khi tắt hoàn toàn và để chẩn đoán sự cố trên ổ đĩa khởi động của bạn yêu cầu đăng nhập mà mật khẩu đúng không cho phép bạn vào.

Trong những trường hợp đó, khóa khôi phục do macOS thiết lập tại thời điểm bạn bật FileVault trên máy Mac có thể giải quyết được vấn đề. Nhưng nếu đã đủ thời gian trôi qua, bạn có thể quên mất nơi cất giữ khóa hoặc cách lấy lại khóa. Người đọc Macworld Elaina đã rơi vào trường hợp đó. Cô ấy không thể tìm thấy khóa và cô ấy nhớ đã sử dụng tùy chọn iCloud để lưu trữ khóa, nhưng đã kiểm tra iCloud Drive và không tìm thấy. Cô ấy lo lắng rằng mình có thể bị khóa ngoài và không thể lấy được Khóa khôi phục.

Đây là vấn đề với các tùy chọn bảo mật trên các hệ thống đủ tin cậy để bạn không phải làm việc với chúng thường xuyên để làm mới bộ nhớ của mình. Touch ID và Face ID trong iOS và iPadOS và Touch ID trong macOS yêu cầu bạn nhập lại mật mã hoặc mật khẩu thiết bị ít nhất sáu ngày một lần để bạn không quên chúng.

Khi bạn thiết lập FileVault lần đầu, một trong các bước sẽ hỏi bạn có muốn sử dụng tài khoản iCloud của mình để mở khóa ổ đĩa và đặt lại mật khẩu tài khoản macOS nếu bạn không tìm thấy khóa khôi phục hay không. (Trong Monterey và các phiên bản trước đó, hãy vào  > Tùy chọn hệ thống > Bảo mật & Quyền riêng tư > FileVault; trong Ventura hoặc các phiên bản mới hơn, hãy vào  > Cài đặt hệ thống > Quyền riêng tư & Bảo mật và cuộn xuống phần FileVault.)

Bạn có thể chọn lưu trữ khóa khôi phục của mình như một phần của tài khoản iCloud để đặt lại mật khẩu.

Nếu bạn chọn iCloud, khóa khôi phục không được lưu trữ lỏng lẻo trong iCloud Drive hoặc dưới dạng tệp. Thay vào đó, nó được liên kết với thông tin tài khoản ẩn mà Apple duy trì. Nó được mã hóa hoàn toàn theo cách mà ngay cả Apple cũng không có quyền truy cập vào dữ liệu khóa khôi phục chưa được mã hóa, nhưng Apple có thể cung cấp khóa khôi phục đã mã hóa cho máy Mac của bạn nếu bạn cần đặt lại mật khẩu. Bạn không bao giờ nhìn thấy khóa khôi phục cũng như không phải nhập khóa trong cấu hình này. (Quy trình này hơi phức tạp: Apple mô tả trong phần "Đặt lại bằng trợ lý Đặt lại mật khẩu (phải bật FileVault)" trong tài liệu hỗ trợ này.)

Nếu bạn chọn đường dẫn khác, nơi FileVault tạo khóa khôi phục và hiển thị khóa đó, bạn cần đảm bảo và ghi lại hoặc nhập khóa đó bằng phương pháp điện tử và lưu trữ an toàn theo cách mà bạn có thể truy cập ngay cả khi máy Mac của bạn không thể khởi động. Tôi sử dụng ghi chú an toàn của 1Password cho mục đích này, nhưng bất kỳ phương pháp lưu trữ nào đáng tin cậy, an toàn và có thể truy cập đều có thể sử dụng được.

Một chiến lược tốt là đặt lời nhắc hàng quý để tìm khóa khôi phục của bạn (và các mật khẩu và khóa quan trọng khác mà bạn phải lưu trữ ở cùng một nơi). Nếu bạn không tìm thấy, hãy tắt FileVault trong macOS và bật lại. Trên các mẫu Intel không có Chip bảo mật T2, việc này sẽ mất một lúc, vì toàn bộ ổ đĩa được giải mã rồi mã hóa lại trên các mẫu Intel T2 và dòng M, quá trình này chỉ mất vài giây. Với bất kỳ mẫu máy Mac nào, macOS sẽ tạo một khóa khôi phục hoàn toàn mới, sau đó bạn có thể ghi chú lại cẩn thận hơn.

Với mỗi tình huống nêu trên, nếu bạn không thể đăng nhập vào iCloud hoặc làm mất khóa khôi phục, các tệp trên máy Mac của bạn sẽ không thể khôi phục được mãi mãi.

macworld