Accout gesperrt – falsches Passwort eingetippt

jteschner schrieb:
ok

Hmmm - dann frage ich mich wer das eingeschaltet hat - oder ich erinnere mich einfach nicht daran es getan zu haben. Ist ja auch schon ein paar Jahre her ...
Zum Vergrößern anklicken....
Vorallem, wird man bei der Ersteinrichtung explizit darauf hingewiesen FV proaktiv zu aktivieren, da sonst die Daten bei etwaigen Verlust / Diebstahl nicht mehr sicher und dadurch kompromitierbar sind? :unsure:

Ging immer davon aus, dass deim Apple Silikon die interne SSD eh immer verschlüsselt ist!

Einfach mal aus Spaß bei Mac Nutzer in der Familie und bei Freunden nachhaken, ob sie FV aktiviert haben :whistle:
 
kurze Zwischenfrage an die anwesenden Forensiker. Ging mir gerade so durch den Kopf.
  • Wie viele falsche SMB-Logins (von hinten durch's Kabel) habe ich eigentlich, bevor die Kiste dicht macht ?
  • Wäre ja ein prima Einfallstor für ne brute-force-Attacke.
Schwer vorstellbar, dass die Apple-Jungs ( und Mädels ) sowas Triviales übersehen, aber könnte ja sein.
 
Cassiuzz schrieb:
Ging immer davon aus, dass deim Apple Silikon die interne SSD eh immer verschlüsselt ist!
Zum Vergrößern anklicken....
Ja. Das ist sie auch.
Wenn du sie ausbaust oder auslötest kannst du nichts damit anfangen. Nur Datenmüll. Verschlüsselt.

Wenn du aber als Angreifer mit dem korrekten (frisch im Terminal/Recovery zurückgesetzten) Passwort über den Sicherheitschip kommst ist das ein Normaler Zugriff der gestattet ist...

Erst wenn Filevault aktiviert ist hast du da Sicherheit. Denn dann schaltet dein Passwort beim Login erst die Festplatte frei und loggt sich dann ein.

Das Loginfenster sieht bei aktiviertem FV gleich aus, es ist aber erst ein Pre-Boot Screen (oder irgendwie so).
Das merkt man wenn man bei aktiviertem FV das Bild im Sperrbildschirm ändert.
Beim Boot kommen immer erst die Sequoia Bäume und erst nach dem ersten login wird dann im Sperrbildschirm das von dir vorgegebene Bild gesetzt.
Das siehst du also nur wenn du nach dem Login den rechner wieder Sperrst.

Wenn FV also aktiv ist und du dein Passwort über "Resetpassword" brachial zurücksetzt brauchst du das alte Passwort trotzdem um die Festplatte aufzuschließen.
Dann kommst du als Angreifer nicht rein. Vermutlich kommt man nicht mal zum Terminal mit "resetpassword".
 
tocotronaut schrieb:
Ja. Das ist sie auch.
Wenn du sie ausbaust oder auslötest kannst du nichts damit anfangen. Nur Datenmüll. Verschlüsselt.
Zum Vergrößern anklicken....
Und man kommt rein, mit entweder:
- Wiederherstellungsmodus, resetpassword, AppleID/Passwort
- TargetDisk Mode (Intel) oder USB-Modus (Silicon) - 2. Rechner nötig

Richtig? Wobei ich mich frage: wenn die Daten immer verschlüsselt sind (ohne FV), wie kann dann zB ein TargetDiskMode helfen??

Irgendwas stimmt doch hier nicht ... :-/ Oder ich habe einen Knoten im Kopf

Edit:
Gerade mal ChatGpt dazu befragt:

Bei Intel-Macs:

  1. Starte den Mac im „Target Disk Mode“ (beim Einschalten die Taste T gedrückt halten).
  2. Verbinde ihn über USB-C/Thunderbolt mit einem anderen Mac.
  3. Der Mac erscheint dort als externe Festplatte – wenn nicht verschlüsselt, kannst du einfach drauf zugreifen.

Bei Apple Silicon Macs:

  1. Starte in den DFU-Modus und benutze Apple Configurator auf einem zweiten Mac.
  2. Du kannst die SSD dann über USB als Volume mounten (sofern nicht verschlüsselt).
 
tocotronaut schrieb:
Wenn du aber als Angreifer mit dem korrekten (frisch im Terminal/Recovery zurückgesetzten) Passwort über den Sicherheitschip kommst ist das ein Normaler Zugriff der gestattet ist...
Zum Vergrößern anklicken....
Auf einem Mac mit Apple Silicon musst du aber erstmal zum Terminal in der Recovery kommen. Die Recovery ist auf diesen Macs mit dem Benutzerpasswort eines Admin-Users gesperrt - unabhängig davon, ob Filevault aktiviert wurde oder nicht. Genauso wie ein regulärer Boot ins OS (ohne Filevault) standardmäßig beim Anmeldebildschirm endet und ein Passwort verlangt, kannst du also auch in der Recovery nichts tun...

Eventuell lässt sich die Authentifizierung in der Recovery doch irgendwie umgehen, vielleicht auch mit dem von @jteschner genannten Hinweis zum Zugriff via DFU-Modus, der mir ganz neu ist. Vielleicht fantasiert auch chatGTP was daher, nur weil das da so steht muss das nicht funktionieren.

Achja: Mit dem Boot von einem externen Medium (wie es hier im Thread vorgeschlagen wurde), wird es auch nix. Denn dazu muss man das einmalig in der Recovery aktivieren/freigeben, und dazu benötigt man wieder das Passwort eines Adminbenutzerkontos.
 
OmarDLittle schrieb:
Eventuell lässt sich die Authentifizierung in der Recovery doch irgendwie umgehen, vielleicht auch mit dem von @jteschner genannten Hinweis zum Zugriff via DFU-Modus, der mir ganz neu ist. Vielleicht fantasiert auch chatGTP was daher, nur weil das da so steht muss das nicht funktionieren.
Zum Vergrößern anklicken....
Funktioniert aber genau so, ich wusste vorhin nur nicht genau wie (hatte irgendwie die Wiederherstellung dazu im Kopf). Hab das aber grade mal ausprobiert. @jteschner Idee chatGPT mal zu fragen war daher nicht verkehrt. Daher kann auch ich nur empfehle, FV zu aktivieren. Im Falle eines Falles kommt man sonst viel zu leicht an die Daten ran.
 
jteschner schrieb:
MeToo. Das wurde doch hier im Forum doch schon mal intensiv durchgekaut, oder?
Verschlüsselung grundsätzlich immer an - FV nochmal on top
@lisanet hat doch da ausgiebig erklärt, wenn ich mich recht erinnere.
Zum Vergrößern anklicken....

ja, ich habe es versucht x mal zu erklären. Es bringt aber exakt Null, da kurz darauf irgendwelche User mit schrägen Behauptungen kommen und so wieder alle weniger versierten User durcheinander bringen.

Halbwissen und falsches Wissen verbreiten sich eben leichter als korrektes Know-How, da sie einfache Lösungen für komplexe Systeme bieten. Und da hier im Forum IMO überwiegend "Apple ist shice" und "Entwickler sind Idioten" als Meinung vorherrscht und nur die lautesten Hater-Stimmen den Ton angeben, wird sich daran auch wenig bis nichts ändern.

Daher letzmalig:

Interne SSD mit APFS sind immer verschlüsselt mit Hardware-Key => immer lesbar von der Hardware = immer lesbar von allen Usern die auf die Hardware Zugang haben. Egal wie der Zugang aussieht

FileVault = interner Hardware-Key wird mit Login-PW verschlüsselt => nur noch lesbar wenn Login-PW bekannt. Zudem: FileVault geht faktisch sofort, da nur Hardware-Key verschlüsselt wird.

interne SSD kann man in M-Macs nur auslöten => kein Zugriff auf Hardware-Key, da die Hardware des Macs ja nicht mehr an der SSD hängt.

Löschen eine M-Macs mit APFS: via zurücksetzen in den Systemeinstellungen. Da wird dann lediglich der Key verworfen. Fertig. Daher ist ein überschreiben so einer SSD der vollkommene Blödsinn.

FileVault != Hardware-Key-Verschlüsselung

Hardware-Key wird generiert und im T2 bzw M-Chip gespeichert (secure enclave) Kein Fabrikations-Keys

Das war das letze Mal. In Zukunft also bitte Suchfunktion.
 
lisanet schrieb:
Das war das letze Mal. In Zukunft also bitte Suchfunktion.
Zum Vergrößern anklicken....
Ich verstehe deinen Frust - bei mir ist das Problem: da ich da so wenig damit zu tun habe, vergesse ich immer wieder Details und übrig bleibt ein lückenhaftes Basiswissen. War bei mir im Studium auch immer schon so ;-)
Und bis man hier bei einer Suche etwas findet, von dem man zwar weiss, dass es da ist, aber nicht mehr genau wann/wie/wo geschrieben - das ist echt mühseelig :-/
 
jteschner schrieb:
Ich verstehe deinen Frust - bei mir ist das Problem: da ich da so wenig damit zu tun habe, vergesse ich immer wieder Details und übrig bleibt ein lückenhaftes Basiswissen. War bei mir im Studium auch immer schon so ;-)
Und bis man hier bei einer Suche etwas findet, von dem man zwar weiss, dass es da ist, aber nicht mehr genau wann/wie/wo geschrieben - das ist echt mühseelig :-/
Zum Vergrößern anklicken....

Dann such im Netz. Das bspw

-> https://help.apple.com/pdf/security/en_US/apple-platform-security-guide.pdf
 
Madcat schrieb:
Daher kann auch ich nur empfehle, FV zu aktivieren.
Zum Vergrößern anklicken....
Volle Zustimmung - ich weiß auch ehrlich gesagt nicht was Apple da reitet, das nicht wie bei den iPhones und iPads automatisch zu aktivieren. Dort ist es gar nicht deaktivierbar. Einerseits mag es nett sein dem User am Computer noch die Wahl zu lassen, andererseits gibt es keinerlei Performanceimpact oder so, da die Daten auf modernen Macs sowieso immer und ausschließlich verschlüsselt abgelegt werden.

Apple könnte das analog wie beim iPhone/iPad machen: Ist kein Passwort festgelegt, gibt es nix abzufragen = FV deaktiviert. Ist ein Passwort vergeben, so wird es sowieso abgefragt, und FV kann automatisch aktiviert werden.

Nur den automatischen Login verliert man dadurch. Die Datensicherheit wäre aber für viele User verbessert, die gar nicht wissen was Filevault ist. Und warum sollten die das auch kennen oder sich damit auseinandersetzen wollen? Da darf man zumindest bei einem mobilen Gerät wie Macbooks schon davon ausgehen, dass das heutzutage Standard ist.
 
MrChad schrieb:
kurze Zwischenfrage an die anwesenden Forensiker. Ging mir gerade so durch den Kopf.
  • Wie viele falsche SMB-Logins (von hinten durch's Kabel) habe ich eigentlich, bevor die Kiste dicht macht ?
  • Wäre ja ein prima Einfallstor für ne brute-force-Attacke.
Schwer vorstellbar, dass die Apple-Jungs ( und Mädels ) sowas Triviales übersehen, aber könnte ja sein.
Zum Vergrößern anklicken....

Wenn die Platte verschlüsselt ist, hast du null Versuche. Du musst dich erst einloggen, bevor du Netzwerkdienste nutzen kannst. Ist bei mir recht ärgerlich, wenn ich per Remote auf meine anderen Rechner zugreifen will. Ich muss mich immer erst beim Remoterechner anmelden bevor ich ihn aus der „Ferne“ (der Rechner steht neben mir 😉) steuern kann.
 
MrChad schrieb:
Wie viele falsche SMB-Logins (von hinten durch's Kabel) habe ich eigentlich, bevor die Kiste dicht macht ?
Zum Vergrößern anklicken....
Über die Recovery? Vermutlich ohne Limit? Um zu dem Sharing der internen Platte zu kommen, musst du erfolgreich mit einem Adminuser authentifiziert worden sein in der Recovery. Ein weiteres Limit für SMB dürfte an der Stelle nichts mehr bringen. Wieviele Versuche nun die Recovery hat, das wäre dann eher die Frage.

Oder du meinst überhaupt eine andere Stelle wo es auch um SMB geht. Im regulär gebooteten MacOS gibt's keine, aber da sollte standardmäßig auch nix freigegeben sein.

Oder wie @Tzunami sagt, mit aktiviertem Filevault ist SMB beim Boot inaktiv, weil MacOS die gesamte Datenpartition bis zur Passworteingabe nicht entsperren kann. Es gibt also keine Daten, die SMB zugänglich machen könnte. Und wenn man das Passwort eingibt für Filevault, hat man dann kein SMB-Limit mehr, weil ja die Platte schon entsperrt wurde, das Passwort also offensichtlich bekannt sein dürfte.

In Situationen wo MacOS bereits gebootet wurde und der Bildschirm zwischendurch gesperrt wurde, ist SMB natürlich ein Risiko, da dürfte man dann durchaus Bruteforce-Angriffe laufen lassen können. Das ist der Nachteil wenn der Computer eingeschaltet und die Platte entsperrt ist, und nur der Bildschirm gelockt. Damit kann man alle derartigen Dienste für Angriffe missbrauchen, Apple nutzt für SMB bei MacOS auch irgendeine eigene Implementation glaube ich, wie sicher die ist weiß ich nicht. Bugs im MacOS sind dann auch potentiell exploitbar, um den Sperrbildschirm beispielsweise komplett zu überspringen. Dann braucht man kein Bruteforce mehr, wenn so ein grober Bug im Sperrbildschirm-Code drin ist... gab es unter Windows, gab es mit div. Linuxdistributionen, und bei MacOS gabs das zumindest einmal mit diesem aktivierten Root-User, der kein Passwort gesetzt hatte. "root" als User reintippen, eingeloggt...

Daher sind Macs, iPhones und iPads im BFU-Zustand (before first unlock) immer am sichersten, genauso sicher wie ausgeschaltet, und deshalb hat Apple endlich richtigerweise mit iOS 18 auf iPhones und iPads einen Zwangsreboot eingeführt, wenn 3 Tage lang kein Unlock stattfand, forciert iOS 18 einen Reboot und die Daten sind damit wieder verschlüsselt und der Sperrbildschirm nicht mehr angreifbar. MacOS hat diesen Zwangsreboot nicht. Wäre vielleicht optional keine schlechte Idee.

Vorteil ist zB, wenn das Gerät gestohlen oder im Zuge einer Hausdurchsuchung oder am Flughafen kassiert wird, sind nach 72 Stunden keinerlei Tricks mehr anwendbar. Bruteforce wird dann von der Hardware auf unterster Ebene verhindert.

Das macht iPhones die das aktuellste iOS 18 unterstützen damit deutlich sicherer im Alltag als ältere iPhones die bei iOS 17 feststecken. Jetzt zB wo in Amerika immer mehr Leute von maskierten ICE-"Officers" entführt und wider geltendes Recht in Lager gesteckt werden, ist es dann nicht schlecht, wenn das iPhone mit allen persönlichen Daten wasserdicht vor Fremdzugriffen geschützt bleibt. Dass dann von der Demokratie erstmal nix zu sehen ist, geht schnell, wie man sieht.

Ich hatte jetzt noch ein anderes Beispiel hingetippt und wieder gelöscht weils zu politisch wird, warum ich es auch bei uns für wichtig halte, sicherzustellen dass die persönlichsten Daten auf unseren elektronischen Geräten sicher vor Fremdzugriffen auch vor dem Staat sind. Da ist mir ein aktueller Filevault-Mac oder ein iPhone jedenfalls ganz recht, viel einbruchssicherer wird der Otto Normalverbraucher seine Elektronik auch nicht hinbekommen.
 
OmarDLittle schrieb:
Daher sind Macs, iPhones und iPads im BFU-Zustand (before first unlock) immer am sichersten, genauso sicher wie ausgeschaltet, und deshalb hat Apple endlich richtigerweise mit iOS 18 auf iPhones und iPads einen Zwangsreboot eingeführt, wenn 3 Tage lang kein Unlock stattfand, forciert iOS 18 einen Reboot und die Daten sind damit wieder verschlüsselt und der Sperrbildschirm nicht mehr angreifbar.
Zum Vergrößern anklicken....

Ja, das ist imHinblick auf die von dir beschriebenen Situationen wirklich eine sehr gute Lösung.

OmarDLittle schrieb:
MacOS hat diesen Zwangsreboot nicht. Wäre vielleicht optional keine schlechte Idee.
Zum Vergrößern anklicken....

Auf macOS kann man lediglich mit pmset bspw jede Nacht den Rechner automatisch runterfahren lassen. Notebooks mit M-Chip würden dann bei aufklappen des Displays wieder aufwachen und wären dann im BFU-Zustand.

So ein automatisches Runterfahren bringt auch eine Meldung, so dass man, sollte man nachts noch was arbeiten, das auch sieht und ggf. abschalten kann. Allerdings gibt es auch Situationen, in denen der shutdown fehl schlägt, wenn bspw noch eine Datei geöffnet und nicht gespeichert ist. Eine geöffnete Mail.app verhindert bei mir auch immer wieder den shutdown.
 
OmarDLittle schrieb:
..und deshalb hat Apple endlich richtigerweise mit iOS 18 auf iPhones und iPads einen Zwangsreboot eingeführt, wenn 3 Tage lang kein Unlock stattfand, forciert iOS 18 einen Reboot und die Daten sind damit wieder verschlüsselt und der Sperrbildschirm nicht mehr angreifbar.
Zum Vergrößern anklicken....
Ich hab gar kein Zahlencode eingerichtet. Weil ichs für meine Verwendung so nutzen möchte.
Heisst das ich werde damit gezwungen einen Code zu nutzen, die Option ohne gibts ab IOS 18 gar nicht mehr?
Vielleicht hab ichs auch falsch verstanden..
 
lisanet schrieb:
Ja, das ist imHinblick auf die von dir beschriebenen Situationen wirklich eine sehr gute Lösung.
Zum Vergrößern anklicken....
Und verhindert potentiell, dass (eher zero-day-) Schadsoftware lange mitläuft, iOS macht es sehr schwer, einen Exploit zu installieren der Reboots überlebt (gaining persistence). Im Hinblick auf die kürzliche Exploit-Chain CVE-2025-24085 (Core Media Privilege Escalation) und CVE-2025-24201 (WebKit RCE) die bereits von Kriminellen aktiv exploitet wurde nicht so unwichtig. Wobei ich nicht weiß ob die Angreifer in dem Fall persistence hatten oder nicht.

lisanet schrieb:
Eine geöffnete Mail.app verhindert bei mir auch immer wieder den shutdown.
Zum Vergrößern anklicken....
Dürfte nicht so tauglich sein, es geht eher darum dass das Teil zuverlässig zu BFU wechselt auch wenn es zB bei der Forensik liegt und für ein Verfahren geöffnet werden soll. iPhone sind da auch die einzigen die den Zwangsreboot endlich vornehmen, sonst machen das nur Pixels mit GrapheneOS, davon dürfte Apple sich das abgeschaut haben.

erikvomland schrieb:
Heisst das ich werde damit gezwungen einen Code zu nutzen, die Option ohne gibts ab IOS 18 gar nicht mehr?
Zum Vergrößern anklicken....
Du brauchst keinen Code einzurichten. Damit sind aber auch viele Sicherheitsfeatures außer Kraft gesetzt. Spätestens wenn das iPhone dein Hauptgerät ist und du sensible persönliche Daten von dir selbst und anderen (Kontaktliste mit Adressen, Nummern usw.) speicherst, wäre es bei einem mobilen Gerät das immer unterwegs dabei ist grob fahrlässig, keinen Sperrcode festzulegen.
 
Hi,
Ein iPhone ohne Code, ist ein No-Go!!, das werde ich niemals verstehen, wie man auf sowas kommt.
Franz
 
Hat der TO mittlerweile eine Lösung >> Ein- / Ausschalter gefunden?
 
OmarDLittle schrieb:
Spätestens wenn das iPhone dein Hauptgerät ist und du sensible persönliche Daten von dir selbst und anderen (Kontaktliste mit Adressen, Nummern usw.) speicherst, wäre es bei einem mobilen Gerät das immer unterwegs dabei ist grob fahrlässig, keinen Sperrcode festzulegen.
Zum Vergrößern anklicken....
Danke.

Ja, das ist mir schon bewusst, die Bedürfnisse oder nenn ichs mal Sensibiltäten von Daten sind auch unterschiedlich, je nach Nutzung
Hier ists so, paar private Nummern, selten mit Adressen oder Geburtstagen und halt Bilder ( die ich teils ja hier hochlade), noch nichtmal Mail eingerichtet..usw.

Da sehe ich jetzt icht unbedingt soviel Privatschutz nötig um mir da ständig nen Sperrcode zu verpassen, den aber nur ich ständig nutzen müsste obwohl das Gerät auch in kaum Situationen ausserhalb ist, das olle SE 2020. Klar ists einerseits Bequemlichkeit, aber es hat halt auch Nutzen.

Einem Freund von mir ists so passiert, er hat sein auch wenig wertvolles Teil wo liegenlassen. Alleine dass es eben keinen Sperrcode hatte, hat ein Finder es ihm wieder überhaupt zurückgeben können, dank Adresse und Festnetznummer in den Kontakten.
Wird halt gerne unterschätzt der Faktor.

dg2rbf schrieb:
Hi,
Ein iPhone ohne Code, ist ein No-Go!!, das werde ich niemals verstehen, wie man auf sowas kommt.
Franz
Zum Vergrößern anklicken....
Die Bedürfnisse sind unterschiedlich, lies halt weiter oben meine Argumente. Man kann doch nicht von sich auf alles schliessen.

Ein teures Markenbike würde ich auch kaum draussen ständig exponiert haben und nicht abschliessen, mein alter Hobel mit 20kg aber lass ich auch mal so stehen, wenns nur rein zum Bäcker ist.
Meine Karre schliess ich auch nicht ab an der Tanke nur zum zahlen, weil sie alt ist und halt nix drin...und noch nichtmal zuhause immer über Nacht,
wer meint sich für nen 23 Jahre alten Passat unbedingt zu interessieren, ja dann bitte ist halt aber hier bei mir höchst unwahrscheinlich.

Manche tun aber so, wenn man nicht jede Sekunde abschliesse, hüpften geradezu die Räuberbanden aus den Büschen wie die Piranhas.
Halt halt auch nix mit der Realität zu tun.

Also immer abwägen um was für einen Sachverhalt finde ich..
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

L
Muss ständig Passwort eingeben - Tahoe 26.0
Antworten
12
Aufrufe
1.578
WeDoTheRest
WeDoTheRest
I
Passwort zurücksetzen bei einzigem Benutzer mit Secure Token Status geht nicht
Antworten
1
Aufrufe
243
lisanet
lisanet
max881
MacBook Pro (Retina, 15 Zoll, Mitte 2014) Boot Passwort Ändern
Antworten
9
Aufrufe
493
OmarDLittle
O
L
Benutzername/Administrator + Passwort ... klappt nicht!
Antworten
14
Aufrufe
519
Cassiuzz
Cassiuzz
E
  • Gesperrt
Passwörter MacBook air vergessen
3 4 5
Antworten
88
Aufrufe
4.387
wegus
wegus
E
Tastaturmaus verhindert Passworteingabe
Antworten
3
Aufrufe
575
SirVikon
SirVikon
Zurück
Oben Unten