如何防止将WiFi密码存储在恢复分区上？

我一直想知道引导恢复分区并且锁定主系统分区（filevault2）后，Mac如何连接到Internet。

今天，一些谷歌搜索发现（例如，在此处，此处以及在askdifferent上），WiFi密码显然存储在NVRAM中，并且需要重置以删除密码。作为一个有安全意识的人，这对我来说是无法接受的。使用全盘加密（即Filevault2）时，我希望系统相对于我的网络来说也很安全。

那么有没有办法防止OS X在恢复分区中提供密码？我不确定它最初是如何或何时进入NVRAM的。

UPDATE1：NVRAM包含以下键：（nvram -p）：

BootCampHD
SystemAudioVolume
SystemAudioVolumeDB
aht-results
backlight-level
bluetoothActiveControllerInfo
bluetoothInternalControllerInfo
boot-gamma
efi-apple-recovery
efi-boot-device
efi-boot-device-data
fmm-computer-name
good-samaritan-message
gpu-policy
prev-lang:kbd

密钥efi-apple-recovery和efi-boot-device它们看起来可能包含加密的数据。

我一直想知道同一件事：如何防止OS X将WPA密码（或PSK）存储在NVRAM中。

使用“ nvram”，我无法找到我认为拥有这些凭据的变量。今天，我尝试启动Linux的USB活动映像并运行Chipsec。它列出EFI变量的命令比在OS X中运行nvram获得的结果要多得多。MacBook Pro（2010年中）中的变量包括：

• 当前网络
• 首选网络
• 安全密码

在目前的网络变量的数据包括我的家庭路由器的SSID，在明文。然后将其填充0字节直到结尾，即32字节，并表示预共享密钥（PSK）的64个十六进制数字。

在优选的网络变量看起来像相同的内容当前的网络。

该安全密码变量持完全相同的字节数为EFI密码我设置的，所以我想这是固件锁定密码。我怀疑它使用了某种掩蔽/编码。我的一种理论是，这些密码存储为键盘扫描码或其他内容，但是我还没有足够的信息。

也许使用Chipsec或其他EFI工具，您可以将这些EFI变量清零并在它们上设置访问控制/权限标志，以使它们无法被重写。也许甚至将它们归零也可以为您解决（如果您只需要转售笔记本电脑之类的东西）。我不知道OS X是否定期重写它们，还是仅在更改WPA凭据时才重写它们。

编辑：我刚学到一个从NVRAM检索wifi密码的命令： /usr/libexec/airportd readNVRAM

另外，通过附加GUID，nvram实际上可以读取以下值：

• nvram 36C28AB5-6566-4C50-9EBD-CBB920F83843:current-network
• nvram 36C28AB5-6566-4C50-9EBD-CBB920F83843:preferred-networks
• nvram 36C28AB5-6566-4C50-9EBD-CBB920F83843:preferred-count

因此，也许您可​​以将这些变量吹走，看看它如何进行。

编辑2：如先前的评论所述，删除EFI变量的方法如下（删除需要使用sudo）：sudo nvram -d 36C28AB5-6566-4C50-9EBD-CBB920F83843:current-network

目前尚不清楚该变量是否会返回。