Passwort Mac Air umgehen / Möglichkeiten

[Nina113]

Hallo!

Ich wäre Euch sehr dankbar, wenn ihr mir die folgende Frage beantworten könntet.

Ich besitze einen Mac Air und habe aufgrund von Änderungen, die nicht durch mich durchgeführt wurden, die Vermutung, dass jemand darauf zugegriffen hat.

Ich habe nun festgestellt, dass jeder der das möchte, das Passwort kinderleicht und in nicht einmal zwei Minuten über den Recoverymodus zurücksetzen kann - wozu dann eigentlich das Passwort. Allerdings hätte ich dann gemerkt, dass ich mir meinem alten Passwort nicht mehr in den Mac komme. Oder lässt sich das alte Passwort vom Mac aus auslesen, so dass jemand dieses wieder einrichten kann, damit der Betroffene nichts merkt?

Gibt es andere Methoden, auch mit mehr Zeitaufwand und im Fall von umfangreichen Kenntnissen das Passwort zu umgehen, ohne dass der Besitzer davon etwas bemerkt?

Ich freue mich über jede Antwort. Herzlichen Dank!

Nina

 

[efx]

Durch ausnutzen von Sicherheitslücken wäre das durchaus möglich. Ein anderer Weg wäre eine Brute Force Attacke auf die verschlüsselte Passwort Datei, das dauert ohne Supercomputer allerdings sehr lang.

 

[lisanet]

Dein Account-Passwort ist erstmal nur dafür da, dass bei mehreren Accounts ohne Adminrechte, die Zugriffe auf deine Dateien eingeschränkt sind. Es ist nicht geeignet, den physischen Zugriff auf den Mac zu beschränken. Ein "Auslesen" des Passwortes ist nicht möglich.

Willst du den Zugriff auf Daten auch physisch begrenzen, dann aktiviere FileVault. Dein Account-Passwort fungiert dann auch für FileVault, ohne das ein Zugriff nicht mehr möglich ist. Da bringt auch das Rücksetzen via Recovery nichts.

Willst du die Sicherheit noch etwas weiter erhöhen, dann aktiviere Find-my-Mac und sperre das MacBook im Diebstahl-Fall. Dann kann der Dieb weder deine Daten lesen (wegen FileVault) und auch das MBA nicht mehr gebrauchen. Hast du einen T2-Chip verbaut (in allen neueren MacBooks enthalten) dann stelle im Startsicherheits-Programm noch ein, dass das Starten von externen Medien unterbunden wird. So ist nicht nur der Diebstahl sinnlos gemacht, sondern auch der Versuch / Nutzung via externem System.

Letztendlich hängt die Sicherheit an der Komplexität deines Passwortes. Ist es einfach zu erraten, bringt dir all das nichts. Also nimm ein langes Passwort (meines hat 14 Zeichen) und sorge für einigermaßen Komplexität

 

[Schiffversenker]

Das Benutzerpasswort ist nicht dafür geeignet, den Zugang zu schützen, wenn jemand physischen Zugriff auf den Rechner hat.
Deswegen gibt es ja Firmwarepasswort und Verschlüsselung.

 

[OmarDLittle]

Welches Air hast du ganz genau? Je nach Jahrgang bzw. Modell unterscheidet sich das etwas.

 

[Macschrauber]

https://support.apple.com/de-de/HT204455

 

[Nina113]

Das Modell ist Air Retina 13-inch 2018. Betriebssystem 10.15.3

Was mir noch immer nicht klar ist, ob eine Person nachdem sie über den Recovery Modus das Passwort zurückgesetzt hat und somit Zugriff auf die Daten bekommt, das alte Passwort irgendwie auslesen und wieder einrichten kann. Damit der Besitzer des Mac trotzdem wieder mit seinem herkömmlichen Passwort in den Rechner gelangt und nichts merkt. Und: Ist es auch möglich, das Passwort komplett rauszunehmen, nachdem man über den Recovery Modus und die Passwortrücksetzung in den Mac gelang ist, so dass der Besitzer plötzlich ohne Passwort in seinen Mac kommen würde?

Was passiert im Fall vom externen Booten, wäre mein Passwort dabei das gleiche geblieben und ich hätte nichts gemerkt?

 

[electricdawn]

Was mir noch immer nicht klar ist, ob eine Person nachdem sie über den Recovery Modus das Passwort zurückgesetzt hat und somit Zugriff auf die Daten bekommt, das alte Passwort irgendwie auslesen und wieder einrichten kann.

Nein.

Was passiert im Fall vom externen Booten, wäre mein Passwort dabei das gleiche geblieben und ich hätte nichts gemerkt?

Wenn jemand von einer externen Platte bootet, hat das keinerlei Einfluss auf bestehende Accounts auf der internen Platte. Man kann ohne Probleme auf die interne Platte zugreifen, und braucht dazu dein Passwort nicht zu wissen, solange die interne Platte nicht mit FileVault geschuetzt ist.

So, jetzt aber mal Butter bei die Fische: Verdaechtigst Du jemanden in deinen Rechner eingebrochen zu haben, oder ist das alles wirklich nur hypothetisch?
Ok, ersten Beitrag noch mal gelesen. Was wurde denn veraendert, dass Dich zu der Annahme verleiten koennte, dass jemand in deinen Rechner eingebrochen hat?

 

[Nina113]

Erstmal vielen Dank für die Antworten.

Es wurde folgendes verändert:

Ich hatte ein gmail Account mit YouTube verknüpft, also einen Kanal erstellt (Funktionen: Kommentieren von Videos, YouTube abonnieren etc.). Unter diesem Kanal hatte ich zahlreiche Youtouber abonniert. Gestern fiel mir dann auf, dass
a) YouTube nicht mehr mit diesem gmail Konto verknüpft ist, sondern mit einem andern gmail Konto, das ich aber NIE mit YouTube verknüpft habe. Und
b) unter diesem neu verknüpften Konto bzw. Kanal sogar zwei Abos bestanden, eine youtuberin, die ich auch mit meinem ursprünglichen Kanal abonniert hatte und ein mir völlig fremder youtuber mit einem Video zu Fußball (was mich in keiner Weise interessiert).
c) ich hatte mir außerdem Pocket installiert, womit man Webseiten abspeichern und sortieren kann und dieses mit dem gleichen Useraccount wie oben angelegt. Auch hier ist der Account nicht mehr mit Pocket verschwunden und alle Seiten sind weg.

Es besteht ein Mobbing/Stalkinghintergrund, d.h. eine Vorgeschichte.

Aufgrund der Antworten gehe ich davon aus, dass die Recovery Methode wegfallen würde, weil ich das bemerkt hätte. Somit würde das Booten von externer Platte in Frage kommen. Wären die o.g. Veränderungen denn auf diese Weise möglich? Und kann ich feststellen, ob ein solcher Boot stattgefunden hat? Wahrscheinlich nicht, oder?

 

[electricdawn]

Ich denke mal eher, dass jemand dein Youtube- oder GMail-Passwort geklaut hat. Suche mal nach der Webseite "haveibeenpwnd" und gebe dort mal deine GMail-Adresse ein. Dann wirst Du sehen, ob Du Opfer eines Datenraubs geworden bist. Passwort SOFORT aendern!

 

[efx]

Wenn du schon dabei bist das Kennwort zu ändern aktiviere zusätzlich die 2 Faktor Authentifizierung.

 

[Nina113]

Danke, nein ich habe nachgeguckt, das ist nicht der Fall.
Wie gesagt, es gibt eine Vorgeschichte und es geht einfach darum, einen Menschen fertig zu machen mit allen mögliche Methoden. Die Person (aus einer WG) hatte auch theoretisch Zugang zu meinem Mac während ich im Urlaub war.

Mich würde noch interessieren, ob es möglich ist, herauszufinden, ob ein Boot von Extern stattgefunden hat, z.B durch eine forensische IT. Ich weiß, dass das teuer ist, ich würde einfach erstmal gerne wissen, ob die Möglichkeit besteht, die Spuren nachzuweisen.

Desweiteren wüsste ich noch gerne, ob jemand, der sich Zugang zum Mac verschafft, Programme installieren kann (z.B .Keylogger oder ähnliches) oder Einstellungen/Passwörter von mir einsehen/auslesen kann (zum Beispiel in Bezug auf den Internetzugang und Nord VPN), wodurch er meine kompletten Daten abfangen kann, wenn ich surfe.

Wäre es notwendig, dass ich das Betriebssystem neu installieren lasse bei Verdacht auf einen Zugriff? Oder reicht einfach das neueste OS Update?

 

[Nina113]

Ach so: Könnte denn jemand, der sich über eine externe Festplatte Zugang verschafft, solche Veränderungen vornehmen, das YouTube Konto (gmail Account) wechseln, neue Abos setzen und das GmailKonto aus Pocket entfernen?

 

[rembremerdinger]

Also ich an deiner Stelle würde erstmal alles auf Null setzen.
Das heisst das macOS komplett neu installieren.
Dann würde ich alle deine Passwörter ändern und wie weiter oben angemerkt die SSD verschlüsseln mit Filevault.
Klar müsstetst du alles neu installieren aber nur so kannst du sicher sein das alles was der nette Zeitgenosse mit deinem Book gemacht hat weg ist.
Und wenn du das Book nicht nutzt oder weg bist gut gesichert wegschliessen damit niemand drankommt.

 

[bernie313]

Ach so: Könnte denn jemand, der sich über eine externe Festplatte Zugang verschafft, solche Veränderungen vornehmen, das YouTube Konto (gmail Account) wechseln, neue Abos setzen und das GmailKonto aus Pocket entfernen?

Nein, könnte er nicht, er kann zwar deine unverschlüsselten Daten auslesen, dein Schlüsselbund zum Beispiel aber nicht auslesen( wie fähig ist dieser jemand denn?)

 

[OmarDLittle]

Leider kann auch der Schlüsselbund ausgelesen werden, es gibt eine Software dafür die alle Passwörter durchprobiert (Dictionary-Attacke). Wenn das Passwort relativ kurz ist und der Angreifer sehr determiniert ist, ist das möglich. Ich würde jedoch nicht direkt davon ausgehen, dass das auch hier der Fall ist. Ausschließen lässt es sich nicht.

Auch von mir die Frage, lässt sich einschätzen wie IT-affin diese Person ist?

Ich habe nun festgestellt, dass jeder der das möchte, das Passwort kinderleicht und in nicht einmal zwei Minuten über den Recoverymodus zurücksetzen kann

Wie hast du das festgestellt? Hast du in den Recoverymodus gebootet und es probiert? Konntest du das Passwort darüber zurücksetzen? Ich vermute ja?

Ich würde an dieser Stelle noch nichts auf Null setzen, sondern im Gegenteil das Gerät erstmal gar nicht nutzen. Also überhaupt nicht mehr einschalten. Was du wissen musst: Da es sich um einen WG-Mitbewohner handelt, der in deiner Abwesenheit physischen Zugriff auf dein Gerät hatte und dich stalkt, solltest du zu 100% davon ausgehen, dass derjenige Zugriff auf sämtliche Inhalte deines Computers inklusive Onlineaccounts hatte und jede Chance genutzt haben wird, das Gerät komplett auszulesen.

Wenn du mit deinem Passwort nicht mehr reingekommen bist und es selber zurücksetzen konntest über die Recovery, dann geh bitte davon aus, dass der Stalker auch den Reset durchgeführt hat und ein eigenes Passwort gewählt hat um reinzukommen und zumindest alle lokalen Daten wie Fotos Browserverlauf und die Inhalte der Mailapp kopieren konnte. Anders gesagt, alles was du jetzt aktuell nach deinem Reset machen kannst, ohne in Apps ein Passwort extra einzugeben, konnte er auch machen.

Vermutlich wird er keinen Zugriff auf deine Passwörter gehabt haben, wenn du aber bereits irgendwo eingeloggt warst wie bei Gmail, dann könnte er diesen noch aktiven Login genutzt haben um deine Onlineaccounts zu durchsuchen, und eben einiges zu verändern.

Daher ist der erste Schritt, ein anderes Gerät zu nutzen, das derjenige nie zu Gesicht bekommen konnte, notfalls einen billigen Windowslaptop bei Saturn mitnehmen. Über dieses Gerät loggst du dich überall ein, E-Mail usw. und änderst innerhalb weniger Minuten sämtliche Passwörter auf zufällig gewählte, für jede Webseite bzw jedes Service ein anderes Passwort. Hier ist die Gefahr, dass du die Passwörter verlierst und dich selbst aussperrst. Daher solltest du einen Passwortmanager auf dem Laptop installieren, dann musst du dir nur ein Hauptpasswort merken, und der Manager macht den Rest.

Das ist jetzt sicherlich etwas zuviel auf einmal - hast du vielleicht Freunde, über deren Computer du das machen könntest?

Du kannst das auch über dein Handy erledigen und den Passwortmanager dort installieren - falls du sicher bist, dass der Stalker keinen Zugriff darauf hatte.

Bist du zufällig in Wien zuhause? In Anbetracht der Sache vielleicht blöd sowas zu fragen, aber falls es so wäre, kann ich dir meine Unterstützung anbieten, auch IT-forensisch.

Es hängt leider stark davon ab, wie IT-affin die Person ist. Ich gehe hier vom schlimmsten aus, zB wäre es möglich, dass dein Handy kompromittiert ist, weil die Person es dir nachts aus deinem Schlafzimmer gestohlen hat und irgendwie entsperren konnte, zB ein Entsperrmuster lässt sich beobachten. Es kann aber auch sein, dass die Person relativ tollpatschig ist und kaum etwas an Informationen abgegriffen hat. Jedenfalls wäre es gut, hier eine klare Trennlinie ziehen zu können und auf einen Schlag Passwörter und Geräte zurückzusetzen (mit vorher zurechtgelegtem Plan). Das wäre zumindest eine Hilfe, um besser schlafen zu können und nicht what-if-Gedanken zu haben.

Lebst du noch mit der Person in der gleichen WG? Ich hoffe nicht, das wird sonst für dich als Laie unmöglich werden, die Geräte abzusichern.

 

[Nina113]

Vielen Dank für die ausführliche Antwort.

Also: Mein Passwort funktionierte! Ich habe den Passwordreset im Recoverymodu durchgeführt, weil ich wissen wollte, ob das wirklich klappt. Dann ist mir klar geworden, dass wenn diese Methode angewandt worden wäre, ich mit meinem Passwort keinen Zugang mehr hätte, weil es zurückgesetzt worden wäre.

Ich überlege tatsächlich, mir einen neuen Rechner zu kaufen und diesen hier zu verkaufen.

Ich frage mich noch immer, wie die Veränderungen vorgenommen werden konnten, wenn Veränderungen nicht möglich sind über den externen Boot.
Ich beschreibe nochmal die Veränderung:
Ich habe YouTube aufgerufen, das mit einem gmail Account von mir verknüpft war = 1 von mir erstellter Youtube Kanal, nennen wir diesen:
Kimmy13@gmail.com bzw. Kimmy13.
Unter diesem Kanal hatte ich ca. 20 Youtuber abonniert.
Gestern habe ich nach längerer Zeit (ein paar Wochen) den Mac wieder benutzt, habe Youtube aufgerufen. Und stellte verblüfft fest, dass ich nicht mehr mit dem o.g. Account in Youtube angemeldet bin, sondern mit einem anderen gmail Konto. Es handelte sich dabei um ein gmail Konto, das ich selbst zu keinem Zeitpunkt mit youtube verküpft habe. Allerdings benutze ich diesen gmail Account zum Schreiben von Mails und wenn ich gmail im Safari Browser aufrufe, habe ich sofort Zugang zu all meinen Mails (ohne Passworteingabe). Darüber hinaus ist diese Mailadresse bekannt.
Daürüber hinaus stellte ich fest, dass mein ursprünglicher gmailAccount bei youtube nicht nur abgemeldet und dafür der besagte Account angemeldet war, sondern das auch dieser neue Account bzw. neue Kanal zwei youtuber abonniert hatte. (was ich ja nie getan habe, weil ich wie gesagt youtube niemals mit diesem gmail Account, das ich für Mails benutze, verknpft habe).
Es handelte sich dabei auch noch um irgendeinen Sportkanal, den ich niemals abonnieren würde.
Das heisst, ich kann auch nicht versehentlich mich bei dem alten Youtubekanal (bzw. dem gmailaccount) abgemeldet und mich mit dem anderen angemeldet haben, denn selbst dann würde das nicht die zwei abonnierten youtuber erklären.
Ich hoffe, ich habe mich irgendwie verständlich ausgedrückt.

Lässt sich denn auf dem Mac Malware instellieren, so dass jemand alles mitverfolgen kann, was man macht?

Ich habe ein Iphone 11 und gehe davon aus, dass es nicht möglich ist, die sechsstellige PIN zu knacken ?!

Ich bin aus Deutschland, trotzdem vielen Dank für das Angebot.

 

[walfreiheit]

Auf deinem Rechner ist nichts drauf. Alles gut. Schalte FileVault ein und gut. Du braucht nichts neues zu kaufen.

Ansonsten gucken wir gerne mal über einen EtreCheck, wenn es dich beruhigt. Erstelle doch bitte ein Systemprotokoll, damit wir alle wesentlichen Informationen auf einen Blick haben: So stellst du ein EtreCheck-Protokoll im Forum bereit

 

[dg2rbf]

Hi,
ich vermute eher dass dir dein Email Passwort geklaut worden ist, dieses wieder zurückändern.
Franz

 

[lisanet]

Mich würde noch interessieren, ob es möglich ist, herauszufinden, ob ein Boot von Extern stattgefunden hat, z.B durch eine forensische IT.

Man könnte versuchen in den log files nachzusehen, wann der Mac gestartet wurde und ob einer oder mehrere dieser Zeitpunkte dann war, wenn du nicht am MacBook sein konntest. Problem dabei ist, dass log files nicht ewig vorgehalten werden und das jemand der sich auskennt die auch manipulieren kann.

Desweiteren wüsste ich noch gerne, ob jemand, der sich Zugang zum Mac verschafft, Programme installieren kann

Ja, sobald jemand physisch Zugriff auf deinen Mac hat und der Mac nicht mit FileVault versehen ist, kann er darauf Programme installieren. Mit FileVault nur dann, wenn er das Passwort kennt.

Wäre es notwendig, dass ich das Betriebssystem neu installieren lasse bei Verdacht auf einen Zugriff?

Ob es notwendig ist, kann ich nicht sagen, da ja nicht feststeht, ob etwas am Rechner manipuliert wurde. Da es dich aber beruhigen würde, so wie ich deine Postings lese, würde ich dazu raten, das zu tun.