Erzwungene Schlüsselbund-Verwendung

[ernstW]

Ich bin ein wenig grantig. Ich verwende meinen Passwort-Safe wie immer und bekomme plötzlich den Hinweis, dass Apple nun beschlossen hat, den "Entwicklerzugriff" zu ändern und daher die Funktionsweise verschiedener Apps vom immer gewährten Zugriff auf - im aktuellen Fall - das Passwort für den Passwort-Safe in Schlüsselbund abhängig ist.

Danach kommt:

Und ich möge gefälligst auf "Immer erlauben" klicken, damit der Safe auch weiterhin funktioniere.

Ich verwende den Schlüsselbund bewusst nicht - was extrem mühselig ist, weil nach nahezu jeder Passworteingabe nachgefragt wird, ob ich nicht doch... Ich weiß auch nicht, welches "Passwort für den Schlüsselbund" Apple nun von mir haben wollte. Ich habe keines angelegt, nehme also an, es wäre möglicherweise die Apple-ID gefragt. Derzeit komme ich also (ohne Schlüsselbund-Zugriff nur sehr umwegig in meinen Passwort-Safe. Betrifft aber (derzeit) nur macOS, weder iOS noch iPadOS; dort kann also weiterhin angebliche Unsicherheit praktiziert werden.

Was ich partout nicht verstehe: Welchen Sicherheitsgewinn soll es bringen, wenn nun das Passwort für den Passwort-Safe auch noch im Betriebssystem (Schlüsselbund) verankert ist? Und dort muss es auch noch so abgelegt sein, dass es bei Bedarf entschlüsselt an den Safe übergeben werden kann. Da reicht meine Fantasie nicht aus.

Bitte keine Antworten wie "Mach einfach, was Apple will, die wissen schon..." Ich tue, was Apple verlangt - mit oder ohne Murren - wenn ich verstehe, was da und warum geschieht. Diese, meine Vorgehensweise betrifft nicht nur Apple, sondern alle Bereiche meines Lebens.

Also bitte drei Fragen:

1. Welches Passwort ist in der obigen Abfrage überhaupt gefragt. Wie komme ich zu diesem nicht von mir bewusst angelegten Passwort?
2. Wozu bzw. aus welchem Grund diese neue Zugangsmethode?
3. Kann ich dieser Zwangsbeglückung ausweichen?

 

[MOM2006]

Also bitte drei Fragen:

[*]Welches Passwort ist in der obigen Abfrage überhaupt gefragt. Wie komme ich zu diesem nicht von mir bewusst angelegten Passwort?

Passwort für Schlüsselbund Anmeldung sollte das User Passwort des angemeldeten Mac Benutzer sein, sofern da nicht was wegen Passwortänderungen auseinander gelaufen ist.

[*]Wozu bzw. aus welchem Grund diese neue Zugangsmethode?

Vielleicht ein Update von der Safe Applikation, die dann einen neuen Schlüssel anlegen will oder einen bestehenden auslesen will.

[*]Kann ich dieser Zwangsbeglückung ausweichen?

Eher nicht

 

[jteschner]

Antworten kamen bereits von MOM2006.
Was mir nur dazu einfällt und soll nur ein Hinweis sein:
Ich hatte vor ein paar Jahren auch mal SafeInCloud genutzt und dann aber, nachdem ich ein paar Hinweise zum Hersteller/Programmierer bekommen habe, davon abgesehen und bin auf eine andere Lösung umgestiegen. es hatte was mit Vertrauen (wegen Herkunftsland) zu tun.
Wenn ich mir nun den Firmensitz anschaue (der hat sich geändert), wäre Uruguay auch nicht meine erste Wahl des Vertrauens.
Musst du aber natürlich wissen - ist nur meine persönliche Meinung und nicht faktenbasiert.

 

[lisanet]

1. Welches Passwort ist in der obigen Abfrage überhaupt gefragt. Wie komme ich zu diesem nicht von mir bewusst angelegten Passwort?

Anmeldepasswort des Mac-Accounts

1. Wozu bzw. aus welchem Grund diese neue Zugangsmethode?

da musst du den Anbieter der App fragen

1. Kann ich dieser Zwangsbeglückung ausweichen?

Es ist keine Zwangsbeglückung.

Passwörter zu speichern - hier das deiner App - macht Sinn. 1 sicheres "Masterpasswort" zu haben (hier dein Mac-Accont-PW) macht ebenso Sinn.

Du schreibst, dass du bewusst die Schlüselbund.app nicht nuzten willst, okay, das ist deine Entscheidung. Ich vermute aber, dass du da etwas einwenig verwechselst oder nicht kennst.

In macOS 15 sind mittlerweile 2 Apps vorhanden, die sich mit "Schlüsseln" beschäftigen.

a) Passwörter:
Die ist das, was am am ehesten mit einem Passwort-Manager vergleichen kann. Dort werden Passwörter für online-Konten / Webseiten abgespeichert (als PW oder als Passkeys) incl. eventuell vorhandener 2FA sowie WLAN-Passwörter

b) Schlüsselbund
Historisch beinhaltet diese App ebenso Passwörter. Aber der Funktionsumfang geht noch deutlich weiter. Es werden dort alle möglichen Token (für interne Dienste, iMessage, Kalender, Kontakte) PW oder Token für Dienste wie Mail, iCloud etc gespeichert. Zudem Zertifikate damit man überhaupt https, SMIME etc nutzen kann.

Insoweit wirst du immer den Schlüsselbund nutzen müssen, da du all diese Token, PW (Mail!) Zertifikate etc gar nicht in irgendeinem anderen Passwort-Manager speichern kannst.

Wenn nun der Entwickler deiner App entschieden haben sollte (ich weiß es nicht) dass er anstatt Passwörtern eher auf Zertifikate oder Token setzt (was der sicherer Weg wäre) dann nutzt die App eben nun den Schlüsselbund. Vielleicht kommt deine Verwunderung auch daher, dass nach einem "Schlüssel" gefragt wird. "Schlüssel" ist nicht zwangsläufig ein Passwort. Zertifikate bestehen sogar aus einem Schlüssel (+Signatur).

Mein Fazit:

Du wirst nicht zwangsbeglückt, der Entwickler der App hat sich eben für was entschieden, was nicht nur aus User+PW besteht. Diese Dinge kannst du nicht in irgendwelchen Passwortmanagern speichern, da die eben wie die Passwörter.app von macOS primär für online-Dienste / Webseiten ausgelegt sind.

Ob du nun die Passwörter.app verwendest oder irgendeinen anderen Passwortmanager musst du entscheiden. Die bessere Systemintegration hast du wie bei anderen Dingen auch halt mit der Passwörter.app.

 

[ernstW]

Vorerst mal heißen Dank an Euch! Wie immer sehr lehrreich.

Passwort für Schlüsselbund Anmeldung sollte das User Passwort des angemeldeten Mac Benutzer sein,

Das hatte leider nicht funktioniert.

Vielleicht ein Update von der Safe Applikation

Daran hatte ich gar nicht gedacht. Die vorgeschaltete Meldung zu der, die oben zu sehen ist, sah mir nach einer Systemmeldung aus. Sie bezog sich auch nicht auf eine bestimmte App, sondern nur darauf, dass diese Abfrage nun für verschiedene Apps kommen werde, bis alle hinsichtlich des Entwicklerzugriffs umgestellt wäeren.

Gar nicht hilfreich ist, dass ich diese Meldung nicht mehr nachliefern kann. Auch die oben gezeigte hat sich nach meiner Umgehung nie wieder gezeigt, was mich jetzt, ehrlich gesagt, auch nicht fröhlicher macht. Ich gehe den Dingen gerne auf den Grund. Seltsamkeiten, die unwiederholbar und für mich nicht nachvollziehbar sind, sind für mich "offene Enden", die letztlich immer lästig sind oder später werden.

Ich hatte vor ein paar Jahren auch mal SafeInCloud genutzt und dann aber, nachdem ich ein paar Hinweise zum Hersteller/Programmierer bekommen habe, davon abgesehen und bin auf eine andere Lösung umgestiegen. es hatte was mit Vertrauen (wegen Herkunftsland) zu tun.
Wenn ich mir nun den Firmensitz anschaue (der hat sich geändert), wäre Uruguay auch nicht meine erste Wahl des Vertrauens.

Danke für den Hinweis!

Mein Weg war ein anderer. Ich hatte über Jahre mSecure. Dann stellte der Hersteller auf Abo um - und hat dabei aber gleich in die Vollen gegriffen; über €70 pro Jahr waren für mich auf Dauer nicht leistbar. SafeInCloud hatte einerseits tragbare Preise, auch eine bezahlbare Dauerlizenz für Familie, perfekte im- und Exportscripts, einen wirklich schnellen und sehr bemühten Support, die Cloud dazu kann ich frei wählen. Und ich erachte einen Firmenstandort in Uruguay oder in Bulgarien für nicht unsicherer als einen in Deutschland oder Österreich. Die Cloud bzw. deren Serverstandort(e) suche ich mir bei SafeInCloud ohnehin separat aus.

Anmeldepasswort des Mac-Accounts

Siehe oben, das war's nicht. Und ich kann die Abfrage auch nicht wiederholen, weil seither nie wieder die Abfrage aufgetaucht ist. Mehr als seltsam. Ich werde später den Rechner neu starten und nochmals versuchen, diese Situation nachzustellen.

Passwörter zu speichern - hier das deiner App - macht Sinn. 1 sicheres "Masterpasswort" zu haben (hier dein Mac-Accont-PW) macht ebenso Sinn.

Weil es Sinn macht, speichere ich Passwörter eben. Auch unser sicheres Masterpasswort ist für mich und meine Liebste auffindbar gespeichert. Aber nicht innerhalb eines Betriebssystems.

Ich vermute aber, dass du da etwas einwenig verwechselst oder nicht kennst.

Da dürftest du Recht haben. Ich (ver)meide "Passwörter", wo es geht.

Insoweit wirst du immer den Schlüsselbund nutzen müssen

Was für mich auch Einiges klärt.

Wenn nun der Entwickler deiner App entschieden haben sollte (ich weiß es nicht) dass er anstatt Passwörtern eher auf Zertifikate oder Token setzt (was der sicherer Weg wäre) dann nutzt die App eben nun den Schlüsselbund.

Okay. verstanden. Ich würde da aber noch gerne die erste Meldung dazu sehen - was derzeit nicht möglich ist.

Die bessere Systemintegration hast du wie bei anderen Dingen auch halt mit der Passwörter.app.

Korrekt. Würde also für meine Frau und mich (iPhones, iPads, Mac) reichen. Aber in unserem Familienaccount werden mehrere Familienmitglieder verwaltet, u.a. auch drei Windows PCs... Da würde uns "Passwörter" nicht weit helfen können.

 

[appelg4]

Wie oben schon beschrieben ist im Normalfall das Passwort des Schlüsselbund Anmeldung dein Mac Account Passwort.

Wenn der Schlüsselbund jedoch geschlossen ist, kommt die Passwort Abfrage 2 mal. Einmal für den Schlüsselbund und einmal für den konkreten Schlüssel (gleich es Passwort) . Eventuell hast du bei der 2 Abfrage fälschlicherweise geglaubt das es nicht geklappt hat.

 

[lisanet]

Aber in unserem Familienaccount werden mehrere Familienmitglieder verwaltet, u.a. auch drei Windows PCs... Da würde uns "Passwörter" nicht weit helfen können.

Lies mal hier https://support.apple.com/de-de/guide/icloud-windows/icw2babf5e03/icloud

Zudem, wenn du passkeys verwendest, brauchst du eh keinen plattformübergreifenden PW-Manager. Einfach einen weiteren passkey unter Windows anlegen.

 

[ernstW]

Inzwischen den Mac neu gestartet. Wiederum SafeInCloud aufgerufen, aber die Abfrage kommt nicht mehr. Ein ungeklärtes Mysterium mehr. :-(

 

[ernstW]

Lies mal hier https://support.apple.com/de-de/guide/icloud-windows/icw2babf5e03/icloud

Wieder etwas gelernt.

Zudem, wenn du passkeys verwendest, brauchst du eh keinen plattformübergreifenden PW-Manager.

Das habe ich jetzt nicht wirklich verstanden. Aber vielleicht fehlt derzeit nur Kaffee. Oder meinst du, weil die Passwörter dann in der iCloud gespeichert werden? Die wäre doch in einem solchen Fall von Benutzer zu Benutzer verschieden, oder? Ich werde das morgen nochmals durchdenken...

 

[ernstW]

Wenn der Schlüsselbund jedoch geschlossen ist, kommt die Passwort Abfrage 2 mal. Einmal für den Schlüsselbund und einmal für den konkreten Schlüssel (gleich es Passwort) . Eventuell hast du bei der 2 Abfrage fälschlicherweise geglaubt das es nicht geklappt hat.

Alles möglich. Ich kann derzeit nichts davon verifizieren, weil der Fall (inkl. Abfrage) nicht wiederholbar zu sein scheint.

 

[mh2019]

Zudem, wenn du passkeys verwendest, brauchst du eh keinen plattformübergreifenden PW-Manager. Einfach einen weiteren passkey unter Windows anlegen.

Das setzt aber voraus, das die Webseite, wo Du dich mit Passkey anmeldest, mehrere Passkeys pro Account unterstützt. Leider oft nicht der Fall. Da ist dann ein PW-Manager, der die Passkeys geräteübergreifend synchronisiert, nützlich.

 

[lisanet]

. Leider oft nicht der Fall.

hast du da ein Beispiel?

 

[mh2019]

hast du da ein Beispiel?

PayPal

 

[lisanet]

PayPal

Es geht bei Paypal auch nur auf iOS und Android Geräten, respektive Safari und Chrome. Hast du beide Geräte schon mal probiert? Ich habe kein Android-Phone und kann es daher nicht testen.

 

[mh2019]

Ich nutze Paypal mit einem Passkey, der via 1password gesynct ist. Man sieht bei Paypal in den Accounteinstellungen jedenfalls keine offensichtliche Möglichkeit, mehrere Passkeys einzurichten, um für jedes Gerät einen eigenen zu setzen.

Für mich aber noch relevanter ist, das ich gerätespezifische Passkeys unpraktisch finde, weil ich die dann alle neu einrichten muss, wenn ich ein neues Gerät kaufe oder ein kaputtes oder verlorenes Gerät ersetze.

Am Ende muss jeder selber zwischen theoretisch etwas höherer Sicherheit (gerätespezifische Passkeys) und etwas mehr Bequemlichkeit (gesyncte benutzerspezifische Passkeys) entscheiden.