Dass man einen neuen Account mit neuen Passwort erstellt ist klar.

Das neue Passwort muss dann in die Secure Enclave wandern, oder wo auch immer Apple das speichert und prüft, bevor das Filesystem freigegeben wird.

Aber der Keychain liegt doch im verschlüsselten Filesystem. Es gibt keinen Grund, warum das Keychain ohne Authentifizierung geöffnet werden kann, zumindest ist das mein Verständnis. Das ist ja der ganze Sinn der Übung. Andernfalls wäre es eine inakzeptable Hintertür im Design. Deshalb muss man normalerweise, nachdem ein Admin das Login Passwort für einen anderen Account geändert hat, das Keychain Passwort für den geänderten Account auch manuell nachführen.