回答:
FileVault 2の起動前ログイン画面のアカウントのパスワードを更新するには、アカウントのパスワードを変更するときにopendirectorydプロセスを使用する必要があります。新しいパスワードハッシュをplistファイルに直接書き込むと、opendirectorydがバイパスされるため、パスワード同期プロセスは開始されません。
この方法でパスワードを変更する必要がある場合は、fdesetupを使用してユーザーアカウントを削除して再追加する必要があります。これにより、FileVault 2の古いパスワードの派生キーがフラッシュされ、新しいパスワードの派生キーが設定されます。
削除する:
fdesetup remove -user username_goes_here
アドオンの再:
fdesetup add -usertoadd username_goes_here
注:削除と再追加の一部として、変更を許可するために、FileVault 2対応アカウントのパスワードまたはマシンに関連付けられた個人用回復キーのいずれかを提供する必要があります。注意すべき重要な点は、ローカル管理者アカウントに対してfdesetup removeを実行すると、そのアカウントはFileVault 2に対して有効にならず、fdesetup addの実行を許可できなくなることです。パーソナルリカバリキーがあることを確認するか、FileVault 2の別のユーザーアカウントを有効にしてから、リカバリキーまたはその2番目のアカウントのパスワードを使用して、ローカル管理者アカウントの再追加を許可します。
解説:今年のWWDCにいたときに、パスワードを変更するためにplistファイルにパスワードハッシュを書き込む方法について質問しました。Appleのエンジニアから次のフィードバックを受け取りました。
「それは恐ろしいことです。そうしないでください。」