key log in nach neustart funktioniert nicht

[grnightz]

Hallo,

Ich hab einen yubico authentifizierungsstick. Ich hab laut mac ein profil erstellt damit man sich auf dem mac nur mit eingestecktem stick und dessen Pin anmelden kann. Wenn ich mich einmal angemldet habe und der mac in ruhemodus geht und ich mich danach wieder anmelden möchte funktioniert dies auch.
Nur nach einem neustart verlangt er keinen Stick sondern das reguläre passwort.
Wie bekomm ich es hin das er auch nach einem neustart bzw. herunterfahren des laptops nach dem stick verlangt.

Hab das profil mit den paramater eingefügt: https://support.apple.com/en-us/HT208372

Vielen dank

 

[lisanet]

Wie bekomm ich es hin das er auch nach einem neustart bzw. herunterfahren des laptops nach dem stick verlangt.

wenn du FileVault aktiviert hast, was ich vermute, dann geht das gar nicht, da zu diesem Zeitpunkt das Betriebssystem noch gar nicht geladen ist und daher auch die Auth mit dem Yubikey nicht erfolgen kann.

 

[grnightz]

Da hast du wohl recht. Daran hat ich auch schon gedacht aber ich dachte es gibt eine möglichkeit das er es ''vorlädt''. Der Sinn eines solchen keys ist es ja das man nicht ohne den key Zugriff aufs System bekommt.... . Gibt es da eine möglichkeit?

 

[oneOeight]

https://support.yubico.com/hc/en-us...9-Using-Your-YubiKey-as-a-Smart-Card-in-macOS

Runter scrollen zu FileVault

 

[ruerueka]

.. und nicht für M1, und auch bei Intel Macs nur nach gründlichem Lesen und Verstehen aller Fallstricke. Aus oneOeights Link:

M1 Mac users: Because of some differences in the way smart card authentication works on Macs with M1/Apple Silicon CPUs (versus those with Intel), we do not recommend requiring smart cards on M1 Macs at this time. More details can be found in the FileVault Configuration section below.

Warning: Requiring a smart card for authentication can result in a system lockout if performed incorrectly.

Und auf Intel nicht für pre-boot:

On Intel-based Macs, FileVault does not support smart cards for pre-boot authentication, meaning you will still need to use your password to unlock your FileVault-encrypted disk.

 

[lisanet]

Es gäbe eine Alternative, die aber theoretisch nicht ganz so sicher ist, wie den Einssatz des Yubikeys als smart card. Praktisch sollte sich da aber kaum ein Unterschied ergeben.

Du verwendest den Yubikey mit einem statischen Passwort. Und zwar in der Art, dass du dir ein sehr langes, komplexes Passwort gibst, dass du in 2 "Teile" splittest, du dir also eine eigene 2-Faktor-Auth baust.

Den ersten "Teil" des Passwortes gibst du manuell ein, der zweite "Teil" ist als statisches Passwort auf dem Yubikey und den fügst du direkt anschließend via kurzem Touch auf den Yubikey ein.

Also z.B. ein Passwort wie: indYK5pwP8d(WtE!UU)^NP7SL4zBCeXvtjUdC(XJ

Das "indYK5pw" gibst du manuell ein, den Rest speicherst du als statisches Passwort auf dem YubiKey.

So ein Passwort sollte hinreichend sicher sein, durch die Trennung hast du eine klassische 2FA, und der manuelle Teil ist nicht allzu umständlich einzugeben.

 

[oneOeight]

Ist das Teil eigentlich FIDO kompatibel?
Apple macht doch jetzt auf Passwortlos und will FIDO erweitern, aber wohl erst mit macOS 13.