Apple a maintenant largement migré une grande partie de la procédure "entrez votre mot de passe iCloud" en "entrez le mot de passe de l'appareil X" pour déverrouiller les clés du trousseau.
Le reste de cette réponse est probablement obsolète, mais c'était ce que je savais de mieux en 2016.
J'ai testé la plupart de vos scénarios et je ne pense pas que le mot de passe quitte jamais le Mac. En fait, Apple crée une paire de clés cryptographiques pour signer l'échange de paquets entre la montre et l'ordinateur avec des aspects anti-rejeu et des calculs de temps de vol pour assurer que la montre envoie réellement les paquets maintenant en temps réel avant que le déverrouillage ne se produise.
L'anti-rejeu signifie que vous ne pouvez pas enregistrer ces paquets pour les rejouer plus tard afin de déverrouiller le Mac. En gros, Apple tire parti de la sécurité iCloud mise en place pour l'authentification à deux facteurs et la synchronisation du trousseau pour échanger les clés cryptographiques nécessaires pour signer les données et établir un signal vérifié afin d'empêcher le piratage de votre Mac avec un signal synthétique ou faux.
Le guide de sécurité d'iOS 10 n'est pas encore disponible, tout comme le guide de watchOS 3. Je mettrai à jour cet article si je trouve plus de détails techniques à l'avenir.
