การปกป้องด้วยรหัสผ่านเฟิร์มแวร์ใน Mac ที่ใช้ Intel
macOS บนคอมพิวเตอร์ Mac ที่ใช้ Intel ที่มีชิป Apple T2 Security รองรับการใช้รหัสผ่านเฟิร์มแวร์เพื่อช่วยป้องกันการแก้ไขการตั้งค่าเฟิร์มแวร์โดยไม่ตั้งใจบน Mac ที่ระบุเฉพาะ รหัสผ่านเฟิร์มแวร์ได้รับการออกแบบมาเพื่อป้องกันไม่ให้มีการเลือกโหมดเริ่มการทำงานอื่นๆ เช่น การเริ่มการทำงานไปยัง recoveryOS หรือโหมดผู้ใช้รายเดียว การเริ่มการทำงานจากดิสก์โวลุ่มที่ไม่ได้รับอนุญาต หรือการเริ่มการทำงานไปยังโหมดดิสก์เป้าหมาย
หมายเหตุ: รหัสผ่านเฟิร์มแวร์ไม่ใช่สิ่งจำเป็นบน Mac ที่มี Apple Silicon เนื่องจากฟังก์ชั่นการทำงานของเฟิร์มแวร์ที่สำคัญที่มีการจำกัดนั้นได้ถูกย้ายไปยัง recoveryOS แล้ว และ (เมื่อเปิดใช้งาน FileVault) recoveryOS จะใช้การตรวจสอบสิทธิ์ของผู้ใช้ก่อนจะสามารถเข้าถึงฟังก์ชั่นการทำงานที่สำคัญได้
โหมดที่เป็นพื้นฐานที่สุดของรหัสผ่านเฟิร์มแวร์สามารถเข้าถึงได้จากยูทิลิตี้รหัสผ่านเฟิร์มแวร์ของ recoveryOS บน Mac ที่ใช้ Intel ที่ไม่มีชิป T2 และจากยูทิลิตี้ความปลอดภัยของการเริ่มต้นระบบบน Mac ที่ใช้ Intel ที่มีชิป T2 ตัวเลือกขั้นสูง (เช่น ความสามารถในการแจ้งขอรหัสผ่านในการเริ่มการทำงานทุกครั้ง) มีให้เลือกจากเครื่องมือบรรทัดคำสั่ง firmwarepasswd ใน macOS
การตั้งรหัสผ่านเฟิร์มแวร์ถือเป็นสิ่งสำคัญอย่างยิ่งในการลดความเสี่ยงของการโจมตีบนคอมพิวเตอร์ Mac ที่ใช้ Intel ซึ่งไม่มีชิป T2 จากผู้โจมตีทางกายภาพ รหัสผ่านเฟิร์มแวร์สามารถช่วยป้องกันผู้โจมตีไม่ให้เริ่มการทำงานไปยัง recoveryOS ซึ่งสามารถปิดใช้งานการปกป้องความสมบูรณ์ของระบบ (SIP) ได้ และด้วยการจำกัดการเริ่มการทำงานสื่ออื่น ผู้โจมตีจะไม่สามารถเรียกใช้โค้ดที่มีสิทธิ์พิเศษจากระบบปฏิบัติการอื่นเพื่อโจมตีเฟิร์มแวร์อุปกรณ์ต่อพ่วงได้
กลไกการรีเซ็ตรหัสผ่านเฟิร์มแวร์มีให้เพื่อช่วยผู้ใช้ที่ลืมรหัสผ่านของตัวเอง ให้ผู้ใช้กดชุดคำสั่งแป้นพิมพ์เมื่อเริ่มต้นระบบ แล้วจะมีสตริงเฉพาะรุ่นแสดงขึ้นมาเพื่อให้นำไปให้กับ AppleCare AppleCare จะลงชื่อแบบดิจิทัลบนแหล่งข้อมูลที่ได้รับการตรวจสอบลายเซ็นโดยตัวระบุแหล่งทรัพยากรสากล (URI) ถ้าลายเซ็นดังกล่าวผ่านการตรวจสอบความถูกต้อง และเนื้อหานั้นมีไว้สำหรับ Mac ที่ระบุเฉพาะ เฟิร์มแวร์ UEFI จะเอารหัสผ่านเฟิร์มแวร์ออก
สำหรับผู้ใช้ที่ไม่ต้องการให้ผู้อื่นนอกจากตัวเองเอารหัสผ่านเฟิร์มแวร์ของตนออกโดยใช้ซอฟต์แวร์ ตัวเลือก -disable-reset-capability จึงถูกเพิ่มไปยังเครื่องมือบรรทัดคำสั่ง firmwarepasswd ใน macOS 10.15 ก่อนการตั้งค่าตัวเลือกนี้ ผู้ใช้จะต้องรับทราบว่าหากลืมรหัสผ่านและต้องการเอาออก ผู้ใช้จะต้องรับผิดชอบค่าใช้จ่ายในการเปลี่ยนลอจิกบอร์ดที่จำเป็นเพื่อให้บรรลุเป้าหมายนี้ องค์กรที่ต้องการปกป้องคอมพิวเตอร์ Mac ของตนจากผู้โจมตีภายนอกและจากพนักงานจะต้องตั้งรหัสผ่านเฟิร์มแวร์บนระบบที่เป็นขององค์กร กระบวนการนี้สามารถดำเนินการบนอุปกรณ์ได้ตามวิธีใดๆ ดังต่อไปนี้:
เมื่อเตรียมใช้งานโดยใช้เครื่องมือบรรทัดคำสั่ง
firmwarepasswdด้วยตัวเองด้วยเครื่องมือการจัดการของบริษัทอื่นที่ใช้เครื่องมือบรรทัดคำสั่ง
firmwarepasswdการใช้การจัดการอุปกรณ์เคลื่อนที่ (MDM)