1. Wenn du alle Inhalte sehen, oder selber eine Frage erstellen möchtest, kannst du dir in wenigen Sekunden ein Konto erstellen. Die Registrierung ist kostenlos, als Mitglied siehst du keine Werbung!

FileVault unter Mojave

Diskutiere das Thema FileVault unter Mojave im Forum Mac OS X & macOS.

  1. Amin36

    Amin36 Thread Starter Mitglied

    Beiträge:
    13
    Zustimmungen:
    1
    Mitglied seit:
    13.06.2009
    Nabend, ich habe gestern mein MB platt gemacht und Mojave sauber vom USB Stick installiert.
    Hierbei im FDP als Dateisystem APFS verschlüsselt ausgewählt und die Partition mit einem Passwort versehen damit FileVault quasi ab Installation aktiv ist und ich mir den späteren Verschlüsselungsprozess sparen kann.

    Nun wurde, anders als bei jedem macOS vorher, bei der Einrichtung eines Benutzers das Passwort für die Festplatten-Verschlüsselung abgefragt. Ließ sich leider nicht überspringen, also erstmal gemacht. Nun war aber der Admin automatisch mit FileVault verknüpft und die Festplatte lässt sich nur noch mit dem Benutzerpasswort entsperren - nicht dem Festplattenkennwort wie zuvor.

    In den Einstellungen lässt sich dies leider nicht ändern, über das Terminal mit dem Befehl "sudo fdesetup remove -user Benutzer" kommt leider nur die Fehlermeldung "Error: Unable to remove user 'Benutzer' (User could not be removed because it's the last OS user on the volume.)." - früher ließ sich der einzige Benutzer jedoch so entfernen und das Festplatten-Kennwort reaktivieren.

    Hat jemand evtl. einen Trick wie ich es hinbekomme dass beim Booten das Festplatten-Kennwort anstatt dem Benutzerkennwort abgefragt wird? Ansonsten muss ich extra einen Benutzer mit dem FileVault Kennwort anlegen der quasi nur zum Entsperren gilt und dann nach dem Booten in mein Benutzerprofil wechseln damit ich bei Abfragen durch installationen o.Ä. nicht immer das lange Kennwort eingeben muss.

    Herzlichen Dank im voraus!
     
  2. karamalz

    karamalz Mitglied

    Beiträge:
    114
    Zustimmungen:
    9
    Mitglied seit:
    20.09.2007
    Ich habe exakt das gleiche Problem...hast Du schon eine Lösung gefunden?
     
  3. Sharptype

    Sharptype Mitglied

    Beiträge:
    1.087
    Zustimmungen:
    94
    Mitglied seit:
    23.05.2015
    FV ist so konzipiert, dass es immer mit der gleichen Schlüssellänge verschlüsselt und diesen Schlüssel dann nochmal verschlüsselt mit deinem Benutzerkennwort. Hintergrund ist das Mehrbenutzersystem, dass jeder Nutzer sich eben nur ein PW merken muss und die Festplattenverschlüsselung gleichzeitig funktionieren kann, für alle Benutzer.

    Was versuchst du durch unterschiedliche Kennwörter zu erreichen? Die Verschlüsselung an sich geschieht immer mit der gleichen Schlüssellänge, unabhängig von der "Länge deines gewählten PW".
     
  4. OmarDLittle

    OmarDLittle Mitglied

    Beiträge:
    1.058
    Zustimmungen:
    351
    Mitglied seit:
    21.05.2017
    Troll woanders, natürlich ist das gewählte Passwort relevant. Wenn dein Benutzerpasswort eine 4-stellige PIN ist oder etwas ähnlich Kurzes, willst du ein anderes Passwort für die Verschlüsselung haben, das länger ist. Das geht aber meines Wissens nach nur via separatem Benutzer und nicht mit einem regulären Festplattenpasswort. Aber du kannst es über die Kommandozeile versuchen.
     
  5. Sharptype

    Sharptype Mitglied

    Beiträge:
    1.087
    Zustimmungen:
    94
    Mitglied seit:
    23.05.2015
    Was soll das bitte? Reagierst du immer so, wenn du deine Meinung vertrittst? Ließ mal genau was ich geschrieben habe und denk' nach. Das das PW unrelevant ist steht nicht in meinem Post :rolleyes:

    Und zu deinem Beitrag: Verständlich und einleuchtend, jedoch aber in keinem Zusammenhang mit meinem Post ;)Ich habe lediglich Fakten geliefert, wie es technisch funktioniert, und nach dem Ziel gefragt. Nicht mehr, nicht weniger.
     
  6. OmarDLittle

    OmarDLittle Mitglied

    Beiträge:
    1.058
    Zustimmungen:
    351
    Mitglied seit:
    21.05.2017
    Der TS will zwei unterschiedliche Passwörter verwenden, ein langes zur Verschlüsselung und ein praktikableres fürs Benutzerkonto, das geht bereits aus seinen Infos hervor. Du erzählst ihm daraufhin, dass die Verschlüsselung immer mit der gleichen Schlüssellänge erfolge und fragst, was er zu erreichen versucht, obwohl er das bekanntgegeben hat. Dann weist du nochmals auf die Schlüssellänge hin, als wäre das in irgendeiner Weise relevant, damit der TS zu einer Lösung kommt. Für den TS und sein Thema ist es vollkommen irrelevant, ob er mit seinem Passwort direkt die Daten verschlüsselt, oder den DEK/Master key, schließlich will er nur ein einziges Verschlüsselungspasswort haben. Anscheinend hast du das nicht verstanden, und ich hatte deinen ahnungslosen Post als trollen missverstanden. Was der DEK mit diesem Thema zu tun hat, weiß ich übrigens noch immer nicht.
     
  7. Sharptype

    Sharptype Mitglied

    Beiträge:
    1.087
    Zustimmungen:
    94
    Mitglied seit:
    23.05.2015
    Scheinbar und scheinbar bist du auch sein Anwalt und statt freundlich und in Bezug zu bleiben ("PW Länge" :noplan:) und dein offensichtlich sehr präzises Können alle Parameter und Zielsetzungen des TS unmissverständlich und unmittelbar Herauszulesen, als wärst du er selbst, und anderen (mir in diesem Fall) einfach dabei zu helfen den TS besser zu verstehen (weil du kannst es ja besser, was auch toll ist, bitte nicht falsch verstehen) trittst du mit deinem großen Fuß auf dem kleinen Pflänzchen rum, bis es kaputt ist.

    Das wäre nicht einmal in Ordnung, wenn meine Informationen technisch einfach nur falsch wären ;)

    Würde das hier jeder tun, gäbe es das Forum nicht mehr, weil keiner sich hier traut irgendwas zu sagen um anderen zu helfen, und ich mag das Forum.
    Sei es drum...wünsche einen schönen Tag und hoffe, dass der TS hier noch eine Lösung dafür findet.
     
  8. OmarDLittle

    OmarDLittle Mitglied

    Beiträge:
    1.058
    Zustimmungen:
    351
    Mitglied seit:
    21.05.2017
    Du wirst uns wohl nie verraten, was 'Schlüssellängen' bzw. DEK/Master Key mit diesem Thema überhaupt zu tun haben, oder? Dein Vergleich mit dir als kleines von mir kaputtgetretenes Pflänzchen ist bildlich toll vorstellbar, aber vollkommen falsch - nur ein Bild setzt es einem in den Kopf, von dem bösen OmarDLittle und dem kleinen Pflänzchen Sharptype.

    Wenn deine Posts nichts mit dem Thema des Threads zu tun haben, bist du für mich ein Troll. Obwohl ich zum Threadthema schreibe und du nicht, kommentierst du meine Beiträge mit einem komplex aussehenden Satz "präzises Können alle Parameter und Zielsetzungen des TS unmissverständlich und unmittelbar Herauszulesen" der mich nur lächerlich machen soll. Das fällt für mich schlicht unter trollen. Wenn du bei jeder Meinungsverschiedenheit so ein Fass aufmachst, können wir in dem Macuser-Forum gar nichts mehr posten, dann mutierst du ja im Sekundentakt zum kleinen Pflänzchen und alle Threads sind nonstop zugespammt.
     
  9. win2mac

    win2mac Mitglied

    Beiträge:
    3.261
    Zustimmungen:
    636
    Mitglied seit:
    07.09.2004
    Die Definition von Troll ist aber schon eine etwas andere. Ich fand das auch irgendwie eigenartig warum Du ihn gleich als Troll ansprichst.
    Wenn er falsch liegt mit seiner Behauptung, dann kannst Du ihm das ja normal sagen, richtig stellen und ihn nicht gleich als Troll bezeichnen.
    Btw: Ne 4-stelliges Pin für ein Nutzerpasswort grenzt ja auch schon an grob Fahrlässig. Was soll das für eine Begründung für ein langes Festplattenpasswort sein?

    Gruß
    win2mac
     
  10. Sharptype

    Sharptype Mitglied

    Beiträge:
    1.087
    Zustimmungen:
    94
    Mitglied seit:
    23.05.2015
    Ich will mich nicht streiten und find's nur schade. Ich wollte einfach nur helfen, das ist alles. Können wir das jetzt bitte beenden? Danke.
    Und um ehrlich zu sein habe ich mich einfach getraut zu so einem komplexen Thema, zu dem ich neulich auch selbst eine Frage hatte, einmal zu antworten. Das wird in Zukunft dann wohl nicht mehr passieren :D:rolleyes:
     
  11. frimp

    frimp Mitglied

    Beiträge:
    708
    Zustimmungen:
    532
    Mitglied seit:
    04.10.2012
    Ich kann das schon verstehen. Zumindestens in einer Mehrbenutzerumgebung möchte man nicht die Passwortqualität der Festplattenverschlüsselung mit einfachen Benutzerkennworten kompromittieren. Dann macht es Sinn den direkten Bezug der Benutzerlogins zur Festplattenverschlüsselung zu entfernen.
    Es scheint aber das Anlegen eines reinen Disk Passwords (abgefragt im EFI-Bootscreen) inzwischen eine Einbahnstrasse zu sein, d.h. man kann seit El Capitan dies nicht mehr mit einfachen Bordmitteln nachträglich erreichen.
    Das Thema haben wir auch im Subforum Sicherheit:
    https://www.macuser.de/threads/file...cherheitseinbussen.809893/page-2#post-9963975
     
  12. Amin36

    Amin36 Thread Starter Mitglied

    Beiträge:
    13
    Zustimmungen:
    1
    Mitglied seit:
    13.06.2009
    Ein Jahr später hält Apple leider an der selben Strategie fest... auch unter Catalina keine Chance etwas zu machen.

    Da andere scheinbar das selbe Problem haben hier meine aktuelle Konfiguration.

    Wir haben (mindestens) zwei Benutzerkonten. Nennen wir sie Login und Nutzer. Einer muss selbstverständlich Admin sein.

    Zuerst prüfen wir ob wir den Mac mit Login und dem sicheren Passwort entsperren können. Klappt das, booten wir in den Login-Account. Dort entziehen wir im Terminal dem anderen Nutzer die Rechte, FileVault zu entschlüsseln und den Mac zu starten.

    sudo fdesetup remove -user Nutzer

    Nun können wir nurnoch mit Login booten, landen aber zwangsweise auch im Login-Account. Man könnte nun immer in den anderen Account wechseln, das ist keine saubere Lösung.

    Also Terminal an und deaktivieren, dass der per FileVault aktivierte Account automatisch angemeldet wird:

    sudo defaults write /Library/Preferences/com.apple.loginwindow DisableFDEAutoLogin -bool YES

    Quelle: https://support.apple.com/de-de/HT207431

    Nun landen wir nach einem Neustart im Login-Bildschirm wodurch wir mit Login booten und Nutzer benutzen können.

    Als reine Kosmetik kann man nun noch Login via Terminal ausblenden.

    sudo dscl . create /Users/Login IsHidden 1

    Quelle: https://support.apple.com/de-de/HT203998

    Nun haben wir also ein System was nur von einem Login-Nutzer mit einem sicheren Passwort entsperrt und nach dem Boot aber direkt mit jedem beliebigen Benutzerkonto genutzt werden kann. Nicht so charmant wie damals mit dem Festplatten-Kennwort - jedoch die beste Kombination die ich bislang gefunden habe.

    Andere Ideen? Gerne her damit!
     
  13. maccoX

    maccoX Mitglied

    Beiträge:
    11.449
    Zustimmungen:
    2.410
    Mitglied seit:
    15.02.2005
    Stehe gerade vor dem selben Problem - mit Mojave.

    Hab an meinem Mac mini FileVault aktiviert und muss jetzt leider auch nach jedem Standby das Benutzerpasswort eingeben. Da ich dieses - da an FileVault gekoppelt - stark und lang wählen musste ist das jetzt echt nervig nach jedem Standby.

    Würde gern ein extra Benutzer Kennwort haben das ich kurz wählen kann oder noch besser die Passwortabfrage nach dem Standby wieder weg haben wollen. Wenn hier nämlich jemand einbricht stöbert er nicht direkt im Mac sondern nimmt den mit und dann müssen meine Daten beim Botten bzw. Festplatte ausbauen gesichert sein.
     
Die Seite wird geladen...
  1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite weitersurfst, akzeptierst du unseren Einsatz von Cookies. Akzeptieren Weitere Informationen...