key log in nach neustart funktioniert nicht

grnightz

Neues Mitglied
Thread Starter
Dabei seit
18.04.2021
Beiträge
36
Punkte Reaktionen
0
Hallo,

Ich hab einen yubico authentifizierungsstick. Ich hab laut mac ein profil erstellt damit man sich auf dem mac nur mit eingestecktem stick und dessen Pin anmelden kann. Wenn ich mich einmal angemldet habe und der mac in ruhemodus geht und ich mich danach wieder anmelden möchte funktioniert dies auch.
Nur nach einem neustart verlangt er keinen Stick sondern das reguläre passwort.
Wie bekomm ich es hin das er auch nach einem neustart bzw. herunterfahren des laptops nach dem stick verlangt.

Hab das profil mit den paramater eingefügt: https://support.apple.com/en-us/HT208372

Vielen dank
 

lisanet

Aktives Mitglied
Dabei seit
05.12.2006
Beiträge
6.218
Punkte Reaktionen
6.706
Wie bekomm ich es hin das er auch nach einem neustart bzw. herunterfahren des laptops nach dem stick verlangt.

wenn du FileVault aktiviert hast, was ich vermute, dann geht das gar nicht, da zu diesem Zeitpunkt das Betriebssystem noch gar nicht geladen ist und daher auch die Auth mit dem Yubikey nicht erfolgen kann.
 

grnightz

Neues Mitglied
Thread Starter
Dabei seit
18.04.2021
Beiträge
36
Punkte Reaktionen
0
Da hast du wohl recht. Daran hat ich auch schon gedacht aber ich dachte es gibt eine möglichkeit das er es ''vorlädt''. Der Sinn eines solchen keys ist es ja das man nicht ohne den key Zugriff aufs System bekommt.... . Gibt es da eine möglichkeit?
 

ruerueka

Aktives Mitglied
Dabei seit
04.04.2004
Beiträge
1.896
Punkte Reaktionen
515
.. und nicht für M1, und auch bei Intel Macs nur nach gründlichem Lesen und Verstehen aller Fallstricke. Aus oneOeights Link:
M1 Mac users: Because of some differences in the way smart card authentication works on Macs with M1/Apple Silicon CPUs (versus those with Intel), we do not recommend requiring smart cards on M1 Macs at this time. More details can be found in the FileVault Configuration section below.

Warning: Requiring a smart card for authentication can result in a system lockout if performed incorrectly.
Und auf Intel nicht für pre-boot:
On Intel-based Macs, FileVault does not support smart cards for pre-boot authentication, meaning you will still need to use your password to unlock your FileVault-encrypted disk.
 

lisanet

Aktives Mitglied
Dabei seit
05.12.2006
Beiträge
6.218
Punkte Reaktionen
6.706
Es gäbe eine Alternative, die aber theoretisch nicht ganz so sicher ist, wie den Einssatz des Yubikeys als smart card. Praktisch sollte sich da aber kaum ein Unterschied ergeben.

Du verwendest den Yubikey mit einem statischen Passwort. Und zwar in der Art, dass du dir ein sehr langes, komplexes Passwort gibst, dass du in 2 "Teile" splittest, du dir also eine eigene 2-Faktor-Auth baust.

Den ersten "Teil" des Passwortes gibst du manuell ein, der zweite "Teil" ist als statisches Passwort auf dem Yubikey und den fügst du direkt anschließend via kurzem Touch auf den Yubikey ein.

Also z.B. ein Passwort wie: indYK5pwP8d(WtE!UU)^NP7SL4zBCeXvtjUdC(XJ

Das "indYK5pw" gibst du manuell ein, den Rest speicherst du als statisches Passwort auf dem YubiKey.

So ein Passwort sollte hinreichend sicher sein, durch die Trennung hast du eine klassische 2FA, und der manuelle Teil ist nicht allzu umständlich einzugeben.
 

oneOeight

Aktives Mitglied
Dabei seit
23.11.2004
Beiträge
64.507
Punkte Reaktionen
13.509
Ist das Teil eigentlich FIDO kompatibel?
Apple macht doch jetzt auf Passwortlos und will FIDO erweitern, aber wohl erst mit macOS 13.
 
Oben