Benutzerkennwörter für macOS in der iCloud?

[Satyrnius]

Liebe Community,

macOS bietet ja bekanntlich eine Funktion zum Wiederherstellen der Benutzerkennwörter über die Apple-ID, sollte man diese einmal vergessen haben.

Da ich als Berufsgeheimnisträger wert darauf lege, dass meine Daten auch dann geschützt sind, wenn Dritte Zugriff auf meine Apple-ID und den entsprechenden Mac erhalten (was auch bei einer 2-Faktor-Authentifizierung denkbar ist), würde ich gerne sichergehen, dass eine solche Wiederherstellung für mein System nicht möglich ist.

Wie kann ich trotz Nutzung der iCloud sicherstellen, dass meine Benutzerkennwörter respektive der FileVault-Schlüssel nicht wiederhergestellt werden können und auch nicht an Apple übertragen oder gar in der Cloud gespeichert werden?

Stutzig macht mich auch, dass bei der Aktivierung der Apple-ID das Benutzerkennwort eines anderen Macsabgefragt wird, was ja nur bedeuten kann, dass das entsprechende Kennwort über Apple übertragen wird.

Kann hier möglicherweise jemand weiterhelfen?

Für Hinweise bedanke ich mich bereits im Voraus!

 

[lisanet]

Vorab: jede Erhöhung der Sicherheit hat Aufwand zur Folge. Sowohl bei der Einrichtung als auch bei der täglichen Handhabung.

Also, mir fallen da vier Dinge ein.

Erstens: FileVault nutzt du ja schon, dann stell im Startsicherheitsprogramm die höchste Stufe ein. Dort steht mehr https://support.apple.com/de-de/HT208198

Zweitens, nutze nicht die AppleID zum Entsperren des Macs, sondern nur ein Accountpasswort. Damit bist du schon mal den Weg über die iCloud los.

Drittens wäre als Alternative der Einsatz von Smart-Cards denkbar. Wie vorab gesagt, das erfordert aber Aufwand bei der Einrichtung, ist dann aber natürlich extrem sicher, da ohne deine Smart-Card keiner an die Daten deines Macs ran kommt. Lies dich hier mal ein https://support.apple.com/de-de/guide/deployment/depfce8de48b/web

Viertens, habe ich mal vor Jahren als Alternative zu Smart-Cards meinen Laptop mit einem Yubikey https://www.yubico.com/der-yubikey/?lang=de abgesichert. Auch das ist aber ebenso einiger Aufwand und erfordert auch etwas Wissen im Umgang mit Terminal und Co. Hinsichtlich des Account-Passwortes habe ich das mit einem pam-Modul und einer krytopgrafischen challenge-response-Methode abgesichert, für die Entschlüsselung bei der FileVault-Abfrage mittels geteiltem Passwort (ein Teil manuelle Eingabe, ein Teil auf dem key hinterlegt). Falls du Wissen und Interesse hast, kann ich mich mal dran setzen und das versuchen zu beschreiben. Auf den Seiten von Yubikey sind aber auch sehr gute Infos dazu vorhanden.

 

[Satyrnius]

Vorab: jede Erhöhung der Sicherheit hat Aufwand zur Folge. Sowohl bei der Einrichtung als auch bei der täglichen Handhabung.

Also, mir fallen da vier Dinge ein.

Erstens: FileVault nutzt du ja schon, dann stell im Startsicherheitsprogramm die höchste Stufe ein. Dort steht mehr https://support.apple.com/de-de/HT208198

Zweitens, nutze nicht die AppleID zum Entsperren des Macs, sondern nur ein Accountpasswort. Damit bist du schon mal den Weg über die iCloud los.

Vielen herzlichen Dank für die schnelle und ausführliche Rückmeldung!

Den ersten Punkt werde ich gleich umsetzen
Zum zweiten Punkt: Die Entsperrung des Macs erfolgt bereits ausschließlich mit dem Benutzerkennwort, jedenfalls wird nicht nach einer Apple-ID gefragt.

Wie kann ich aber trotz Nutzung der iCloud sicherstellen, dass meine Benutzerkennwörter respektive der FileVault-Schlüssel nicht über die Apple-ID wiederhergestellt werden können und auch nicht an Apple übertragen oder gar in der Cloud gespeichert werden?
Der Apple-Support hatte hierauf leider keine Antwort.

 

[lisanet]

Wie kann ich aber trotz Nutzung der iCloud sicherstellen, dass meine Benutzerkennwörter respektive der FileVault-Schlüssel nicht über die Apple-ID wiederhergestellt werden können und auch nicht an Apple übertragen oder gar in der Cloud gespeichert werden?

...indem du beim einrichten des Macs und darauf anschließend des Accounts diese Option / Möglichkeit abwählst. Du wurdest danach gefragt.

Wie das später geht müsste ich auch erst suchen. Frage mal die suchmaschine deiner Wahl mit "apple support passwort icloud reset" oder ähnlich. Aber immer mit "apple support" Nur so kriegst du die Infos von Apple und nicht das Halbwissen aus allem möglichen blogs und Foren. Gut, es gibt gute Foren wie stackoverflow, aber die kannst du dann ja auch direkt mit angeben.