Passwort umgehen

[Alberto]

Hallo Macuser,

ich habe aus Anlass der Warnung des BSI meinen iMac so eingerichtet, dass ich nach jedem Einschalten das Kennwort eingeben muss. Bisher brauchte ich es nur, wenn ich etwas im System ändern wollte, z.B. ein neues Programm eingeben. Bei dieser Gelegenheit habe ich mein bisheriges "einfaches" Kennwort so geändert, dass man es kaum noch erraten kann.

Bei der Eingabe des alten Kennwortes bin ich mich mal auf einer Taste "ausgerutscht", aber beim nächsten Mal hatte ich dann das richtige. Da kam mir der Gedanke: Was mache ich eigentlich wenn mir das bei der Eingabe des neuen Kennworts passiert, und ich weiß nicht, was ich eingegeben habe? Kurz: Wie kann ich das Kennwort umgehen? Ich bin der Administrator, für den muss es doch eine Regelung geben, sozusagen "illegal" reinzukommen.

Wer weiß, wie ich in diesem Falle vorgehen muss. Für Tipps dankbar …

Alberto

PS: Mein Betriebssystem Snow Leopard Mac OS X 10.6.8

 

[Istari 3of5]

Du kannst als root über die Open Firmware das Passwort des Admins ändern. Gibt einige Anleitungen dazu im Netz. Schwierig wird es nur, wenn auch die Frimware mit einem Passwort geschützt wird.

Der Passwortschutz beim Einloggen ins System macht meiner Meinung eh nur Sinn, wenn man seine Wohnung mit zwielichtigen Gestalten teilt oder ständig befürchten muss, dass der Mac geklaut werden könnte. Das BSI wird mir seit der letzten Meldung immer suspekter. Ich finde die machen manchmal zu viel Panik. Wahrscheinlich, um sich bei der Bevölkerung als wichtig und sinnvoll darzustellen.

 

[bernie313]

DVD einlegen, davon starten und dann nach der sprachauswahl, aus der dann sichtbaren menüleiste die Funktion Kennwort zurücksetzen wählen.
Das benutzerpasswort bietet, nur nebenbei erwähnt keinen besonders umfassenden Schütz, es ist leicht zu umgehen, was auch sinnvoll ist, einzig eine Verschlüsselung ist da sinnig,

 

[Titanic]

Ich würde einfach das Kennwort aufschreiben und irgendwo sicher hinterlegen.

 

[ProjectBuilder]

Um solche Fälle zu verhindern musst du das neue Passwort ja zweimal eingeben...

 

[avalon]

..Bei der Eingabe des alten Kennwortes bin ich mich mal auf einer Taste "ausgerutscht", aber beim nächsten Mal hatte ich dann das richtige. Da kam mir der Gedanke: Was mache ich eigentlich wenn mir das bei der Eingabe des neuen Kennworts passiert, und ich weiß nicht, was ich eingegeben habe?

Was soll denn passieren?
Der Computer nimmt das Passwort nicht an und fordert dich auf das richtige, was du ja kennst, einzugeben.
Tastatur Vertippet passieren doch jeden Tag.

Aber im Falle der Fälle kann man das Passwort zurücksetzen mit Hilfe der CD. Davon starten und vor der Installation im Menü "Kennwort zurücksetzen" wählen.

Ist das Passwort im EFI eingegeben, wird es schwieriger aber nicht unmöglich.
Auch das ist in 2 Minuten gekackt wenn man sich auskennt.

 

[Alberto]

Du kannst als root über die Open Firmware das Passwort des Admins ändern. Gibt einige Anleitungen dazu im Netz. Schwierig wird es nur, wenn auch die Frimware mit einem Passwort geschützt wird.

Der Passwortschutz beim Einloggen ins System macht meiner Meinung eh nur Sinn, wenn man seine Wohnung mit zwielichtigen Gestalten teilt oder ständig befürchten muss, dass der Mac geklaut werden könnte. Das BSI wird mir seit der letzten Meldung immer suspekter. Ich finde die machen manchmal zu viel Panik. Wahrscheinlich, um sich bei der Bevölkerung als wichtig und sinnvoll darzustellen.

Danke für deine Antwort. Frage: Was muss ich einstellen, wenn ich nur erreichen will, dass ein Eindringen über das Netz "erschwert" werden soll? An einen Einbruch in die Wohnung habe ich dabei nicht gedacht. Das Eingeben des Kennworts bei jedem Einschalten ist schon ein bisschen nervig.

Ich sehe gerade die vielen, weiteren Antworten. Danke auch an euch und für den Tipp mit der CD.

 

[Istari 3of5]

Was muss ich einstellen, wenn ich nur erreichen will, dass ein Eindringen über das Netz "erschwert" werden soll?

Da hilft nur Hirn einschalten. Trojaner und Co. fängt man sich nicht mal eben ein. Am Mac wird bei Veränderungen am System eh das Passwort verlangt (o.k. ist theoretisch auch keine 100%ige Sicherheit). Reagiere nicht auf Phishing-Mails, gebe Deine Passwörter niemandem weiter, installiere keine Software aus zweifelhaften Quellen etc.

Die Passworteingabe beim Bootvorgang verhindert ja nur den lokalen Zugriff. Sonst müsste Dein Mac ja über das Internet hochgefahren werden. Macht meines Erachtens also in der eigenen Wohnung wenig Sinn. Ausser man hat ein Laptop, das man häufig mitnimmt und das leicht geklaut werden könnte.

Ich bin dafür weniger paranoid zu sein. Sicher vor Hacking ist man letztendlich nur, wenn man auf den ganzen Schnickschnack wie Internet und Co. verzichtet. Dass man sich scheinbar absichern kann und dann doch feststellen muss, dass es nicht so ist, zeigt die aktuelle Debatte bzgl. NSA.

 

[Alberto]

Verstehe ich dich richtig? Es reicht, dass ich ein Kennwort für die Änderungen im System habe und ansonsten die üblichen Vorsichtsmaßnahmen bei emails u.ä. beachte?

 

[Istari 3of5]

Das ist zumindest meine persönliche Meinung.

 

[DoroS]

Wichtig für Angriffe aus dem Netz ist, dass du deinen Router (WLAN) umfassend mit Kennwort geschützt hast z.B. WPA-PSK/AES Verschlüsselung.

 

[David X]

Eine persönliche Risiko-Analyse und wogegen er/sie sich schützen will, muss jeder für sich machen, klar. Aber zu behaupten, dass ein WLAN-Passwort gegen Angriffe aus dem Netz schützen würde oder, dass sich Malware auf dem Mac nur nach Eingabe des Admin-Passwortes installieren kann, ist ja nun hanebüchener Unsinn!

Ein gutes WPA2-Passwort schützt gegen Blackhats, die sich in ein WLAN als Client hacken wollen und dafür in Reichweite des WLANs sein müssen. Der Angreifer kommt also nicht aus dem Netz (dagegen helfen eine SPI-Firewall auf dem Router, deaktiviertes WPS und UPnP und aktuelle Router-Firmware)!

Flashback und aktuell diese Malware funktionier(t)en auch ohne Eingabe des Passwortes, weshalb gute Passwörter und eine Trennung von Admin-Account und Standard-User auch auf Macs im Alltag sinnvoll ist. Und wie dieser Thread zeigt, haben FileVault2 und FindmyMac durchaus ihre Berechtigung.

 

[Istari 3of5]

Aber zu behaupten, dass ein WLAN-Passwort gegen Angriffe aus dem Netz schützen würde oder, dass sich Malware auf dem Mac nur nach Eingabe des Admin-Passwortes installieren kann, ist ja nun hanebüchener Unsinn!

Da hast Du Recht, habe ich aber so auch nicht behauptet. Der Hinweis von DoroS war vielleicht etwas unglücklich ausgedrückt im Bezug auf das Thema und fachlich deshalb nicht korrekt, aber zumindest nicht ganz unwichtig, was sinnvolle Schutzmassnahmen zuhause angeht.

Flashback und aktuell diese Malware funktionier(t)en auch ohne Eingabe des Passwortes, weshalb gute Passwörter und eine Trennung von Admin-Account und Standard-User auch auf Macs im Alltag sinnvoll ist.

Den Zusammenhang verstehe ich nicht. Ich verstehe das eher so, dass das Passwort nur eine gewisse Sicherheit vorgaukelt, da nur schlampig programmierte Schädlinge oder Programme die in das System eingreifen daran gehindert werden. Letzteres sind meist irgendwelche Wartungstools oder ähnliches (Sanbox jetzt mal aussenvorgelassen).

Das bestätigt für mich wieder meine Aussage, dass der einzig wirgsame Schutz ist das Hirn einzuschalten. Bisher konnte jeder mir bekannte Schädling am Mac nur durch Zutun des Users installiert werden, indem man auf irgendwas blind rumklickt.

Und wie dieser Thread zeigt, haben FileVault2 und FindmyMac durchaus ihre Berechtigung.

Was FileVault etc. angeht ist das genau wie das Login-Passwort in meinen Augen lediglich ein Schutz gegen Diebstahl. Bei Laptops habe ich den Sinn ja auch nicht angezweifelt, aber ein iMac kann einem für gewöhnlich nur bei einem Einbruch gestohlen werden. Hier ging es ja einzig um den Schutz gegen Angriffe durch das Internet, und da hilft das IMHO gar nichts.

Ich denke wir sind annähernd einer Meinung. Ich verstehe nur nicht, warum hier im Moment bei jedem Thema relativ hart reagiert wird. Sind das noch die Nachwirkungen vom Weihnachtsstress oder das trübe Wetter?
Ich bin gerne lernfähig und behaupte auch nicht immer alles zu wissen. Aber ein freundlicher Ton sollte doch dabei möglich sein.

 

[David X]

OK, sorry, falls der Ton zu rauh war, bin noch die gute alte Newsgroup-Zeit gewöhnt, da war RTFM und ähnliches Standard.

Bisher konnte jeder mir bekannte Schädling am Mac nur durch Zutun des Users installiert werden, indem man auf irgendwas blind rumklickt.

Nein, Flashback war ein Drive-by-Download-Schädling, der sich bei einem Standard-OS-X ganz ohne Zutun des Users installierte.

Der Mensch kennt zwei extreme Zustände:
-Zustand A: Munter, konzentriert, motiviert
-Zustand B: Müde, unkonzentriert, faul bzw. bequem

Meistens befinden wir uns irgendwo zwischen diesen beiden Extremen. Das Problem ist beim Thema "Sicherheit" (nicht nur bei Computern), dass wir, je näher wir uns an Zustand B befinden, ganz schlecht in der Benutzung von Brain 1.0 sind.

Deswegen ist es sinnvoll Schutzmassnahmen dann zu planen und umzusetzen, wenn wir näher an Zustand A sind. Wenn die Schutzmassnahmen gut sind, verhindern bzw. zumindest schmälern sie den Schaden, den wir wir anrichten, wenn wir Brain 1.0 nicht besonders gut einsetzen können.

Der erste Angriffspunkt während wir im Netz surfen ist logischerweise der Account, mit dem wir angemeldet sind. Deshalb sollte dieser Account mit möglichst wenig Rechten ausgestattet sein, so dass die meisten Schädlinge schon daran scheitern, sich überhaupt auf dem System zu installieren oder sonstigen Schaden anzurichten. Sollte aber doch durch entweder besonders gut gemachte Schädlingsprogrammierung, unsere Schusseligkeit oder einer Kombination von Beidem unser Account komprimittiert werden, ist es wichtig, dass der Eindringling möglichst nicht in der Lage ist, die Kontrolle über die gesamte Maschine zu bekommen. Je komplexer also unser Admin-Passwort ist, umso schwerer fällt es einem Angreifer sich weitergehende Rechte zu verschaffen, indem er unseren Admin-Account auch noch hackt.

Betreiben wir ein WLAN, leben wir nicht alleine oder werden wir bestohlen, kommen noch sämtliche Probleme durch direkten physikalischen Zugriff auf unsere Hardware oder die Reichweite unseres WLAN-Netzes dazu. Skriptkiddies/Wardriver haben ihren Spass unser WLAN zu hacken, unsere Partner sind vielleicht Eifersüchtig und wollen wissen mit wem wir Online kommunizieren, Partygäste der Kinder fühlen sich unbeobachtet und wollen mal schauen, ob sie an die heissen Bikini-Fotos aus dem letzten Urlaub herankommen, bei Scheidungen wird nach verschwiegenen Online-Konten gesucht, der stalkende Kollege will alles über uns wissen und deshalb einen Keylogger installeren und, und, und…

Alles dies sind gute Gründe, starke Passwörter zu verwenden (sowohl für den Admin-Account des Routers, als auch für WPA2 und natürlich die Accounts auf dem Mac), FileVault2 auch bei stationären Macs einzuschalten und generell darauf zu achten, dass unbeaufsichtigter Zugriff auf die Hardware möglichst nicht passiert.

So, jetzt bin ich auch näher an Zustand B und da es Morgen bei dem Thema eh kontrovers weiter geht, geh ich jetzt mal in die Heia…

 

[Istari 3of5]

Wow, danke für die ausführliche Antwort. Mit den psychischen Einschränkungen in bestimmten Situationen hast Du natürlich absolut Recht, das ist ein Argument.

Was ich noch nicht verstehe: Wenn sich besagte Schadprogramme schon ohne Zutun des Users und ohne Passworteingabe ins System einnisten können, wie schützt dann ein eingeschränkter User-Account, bei dem man ja auch Installationen mit einem Admin-Passwort vornehmen kann, ohne als Admin eingeloggt zu sein?

Oder steht hinter der Empfehlung einen User-Account statt den eines Admins zu nutzen einfach nur der Sinn, dass man im Zweifelsfall nur den User-Account löschen mus, der bedeutendere Admin-Account aber erhalten bleibt? Der User-Account also keinen Schutz bietet, sondern der Admin Account durch Nichtbenutzung geschützt werden soll?

Diese Empfehlung habe ich wirklich nie wirklich verstanden, wenn es aber Richtung Antwort 2 geht ergäbe das für mich endlich einen Sinn.

 

[avalon]

..Diese Empfehlung habe ich wirklich nie wirklich verstanden, wenn es aber Richtung Antwort 2 geht ergäbe das für mich endlich einen Sinn.

Ich verstehe das so, dass es einem eventuellen Angreifer nur schwerer gemacht wird, also wie in einem Haus, in dem man zwei gesicherte Türen aufbrechen muss statt nur einer.

Edit:
Nur nach der ersten Tür kann man halt noch nicht viel anrichten, sozusagen der Flur des Hauses wo noch nichts wertvolles drinsteht.
Das mag manche abschrecken weiterzugehen und andere eher reizen.

 

[Madcat]

…
Ist das Passwort im EFI eingegeben, wird es schwieriger aber nicht unmöglich.
Auch das ist in 2 Minuten gekackt wenn man sich auskennt.

Yeah, ab auf die Toilette zum fröhlichen Passwort-kacken!

 

[avalon]

Verdammte Hacke, das blöde Rechtschreibkorrekturprogramm...

 

[Alberto]

Wow, danke für die ausführliche Antwort. Mit den psychischen Einschränkungen in bestimmten Situationen hast Du natürlich absolut Recht, das ist ein Argument.

Was ich noch nicht verstehe: Wenn sich besagte Schadprogramme schon ohne Zutun des Users und ohne Passworteingabe ins System einnisten können, wie schützt dann ein eingeschränkter User-Account, bei dem man ja auch Installationen mit einem Admin-Passwort vornehmen kann, ohne als Admin eingeloggt zu sein?

Oder steht hinter der Empfehlung einen User-Account statt den eines Admins zu nutzen einfach nur der Sinn, dass man im Zweifelsfall nur den User-Account löschen mus, der bedeutendere Admin-Account aber erhalten bleibt? Der User-Account also keinen Schutz bietet, sondern der Admin Account durch Nichtbenutzung geschützt werden soll?

Diese Empfehlung habe ich wirklich nie wirklich verstanden, wenn es aber Richtung Antwort 2 geht ergäbe das für mich endlich einen Sinn.

Da hab ich wieder mal eine Frage eines Macuser mit beschränkter Kenntnis:

Wie stelle ich einen beschränkten User-Account ein? Oder anders gesagt: Wie stelle ich das Kennwort für den normalen User ein und wie das Kennwort für den Admin?

Alberto

 

[Titanic]

Da hab ich wieder mal eine Frage eines Macuser mit beschränkter Kenntnis:

Wie stelle ich einen beschränkten User-Account ein? Oder anders gesagt: Wie stelle ich das Kennwort für den normalen User ein und wie das Kennwort für den Admin?

Alberto

Unter Systemeinstellungen - Benutzer. Dort einen Neuen anlegen und ihm nicht erlauben den Computer zu verwalten (also Rechte entziehen).