Schlüsselbund - Einige Anmerkungen und Fragen eines Umsteigers dazu

Nevikov

Mitglied
Thread Starter
Dabei seit
11.02.2021
Beiträge
59
Reaktionspunkte
42
Hallo Leute,

ich habe paar Fragen zum Schlüsselbund und der Sicherheit dahinter bzw. verstehe ich das Konzept nicht so ganz und es irgendwie nicht so intuitiv, wie es bei anderen Dingen der Fall ist.

Fangen wir mal an.

Im Grunde hat doch jeder Zugriff auf mein Schlüsselbund, der beim Mac, mein Benutzerpasswort und beim iPhone/iPad, der mein Entsperrungscode kennt. Gut, dies könnte man jeweils noch stärkere machen und würde damit ein gutes Masterpasswort haben, wenn man das Gerät alleine nutzt. Gehen wir hier mal davon aus, dass die Geräte sicher sind und es keine Schwachstellen gibt. Beim iPhone/iPad könnte es aber lässig werden, wenn man immer einen langen Code eingeben muss. Face ID könnte das regeln, wenn man von Masken absieht.
Darüber hinaus, will man aber, das der Schlüsselbund synchronisiert wird. Nun kommt dann ein weiteres Passwort ins Spiel: Der der Apple ID. Ich nehme an, dass man mit dieser alleine, schon zugriff auf alle Passwörter bzw. dem Schlüsselbund hat. Das heißt, dass man nun zwei oder mehr (je nach Anzahl der Geräte) super sichere Passwörter sich merken muss, damit niemand darauf zugriff hat; auch online nicht mittels Apple ID. Und will man diese Passwörter auch noch im Schlüsselbund aufbewahren, wird der Zugang daran zu kommen schwierig, wenn wenn alle Geräte weg/kaputt sind oder man es über einen fremden PC/Mac/iPhone etc. machen will. Man ist dann ja quasi ausgesperrt. Vor allem, dass man den Schlüsselbund mittels Passwort des Macs oder iPhones entsperren kann, ist doch nicht super praktisch. Wäre da eine einzige Anbindung mittels Apple ID nicht besser, wo man dann auch per Web darauf zugriff hätte im Notfall?
Ich sehe das als kritisch an, wenn man sich mehr als ein starkes PW merken muss und geht etwas vom Sinn eines Passwort-Managers weg. Weil man eben mittels des Anmelde-PWs des Macs, schon zugriff auf den Schlüsselbund hat und alles sehen kann. Oder die Möglichkeit, dafür ein neues Masterpasswort zu verwenden, wäre super, die es aber wohl nicht gibt; jedenfalls konnte ich da nichts finden.

Sind meine genannten Punkte hier korrekt oder irre ich mich irgendwo?

Außerdem ist der Schlüsselbund auf dem Mac voll mit Dingen und Einträgen, die ich nicht zuordnen kann bzw. irgendwelche Zertifikate. Super unübersichtlich und man verliert schnell aus den Augen, was nun wirklich was ist und auf was es sich bezieht. Irgendwie halbherzig das ganze und macht den Eindruck, es handelt sich um einen Wühltisch bei Tedi. Oder hat das einen Sinn?
Auch, dass in Safari noch ein Schlüsselbund vorhanden ist, macht die Sache nicht gerade leichter, weil es sich nur auf Websites zu beziehen scheint.

Und die nächste Frage, die sich mir stellt:
Wenn ich in meine Apple ID eine Kreditkarte hinterlege, ist die dann automatisch im Schlüsselbund oder nur für den Account und das bestimmte Gerät zu gebrauchen? Ich kann diese nämlich nicht für Websites benutzen?
Damit ist nicht Apple Pay gemeint. Diese wird ja nur im Chip auf dem iPhone zum Beispiel gespeichert und ist verschlüsselt und geht nicht online. Wenn man aber Schlüsselbund synchronisiert, wird diese dann auch synchronisiert?

Mir fehlt hier bei Apple ein zentraler Platz, wo alles gesichert wird, statt wie jetzt das eine in der Ecke zu haben und das andere in der anderen Ecke.

Vielleicht habe ich hier aber auch paar Denkfehler drin. Über eine Aufklärung freue ich mich.
Bis jetzt sieht es nämlich nicht so aus, als könnte dieses Konstrukt aus mehreren Dingen, einen normalen Passwort-Manager ersetzen.
 
Außerdem ist der Schlüsselbund auf dem Mac voll mit Dingen und Einträgen, die ich nicht zuordnen kann bzw. irgendwelche Zertifikate. Super unübersichtlich und man verliert schnell aus den Augen,
Du kannst doch einstellen, was angezeigt wird.

Zum Schlüsselbund allgemein, das ist ein Kompromiss aus benutzerfreundlichkeit/Bequemlichkeit und Sicherheit, es ist am Mac die Anlaufstelle für alle Passworte, auch die von Safari, auch die werden dort gelistet.
Wenn jemand dein Benutzerpasswort kennt und du das Schlüsselbund nicht mit einem anderen Passwort versehen hast, dann kann jeder eben deine Passworte auslesen, daher sollte man, wie eigentlich immer, ein starkes Passwort nutzen und dieses nicht unbedingt anderen zugänglich machen, dafür gibt es ja, sofern man mit mehreren den Rechner teil die möglichkeit unterschiedliche Benutzer oder einen Gastzugang zu erstellen.
 
  • Gefällt mir
Reaktionen: dg2rbf
Du kannst doch einstellen, was angezeigt wird.

Na ja, bringt aber nicht viel. Ich habe hier am Mac scheinbar vorinstalliert, 2 Standard-Schlüsselbünde und 2 vom System. Und alle irgendwie gemischt mit allem drum und dran. Auch, wenn ich da auf jeweils „Passwörter“ klicke, tauchen da Dinge und Namen auf, die mir nicht bekannt sind. Was kann ich löschen und was ist wichtig? Benutzerfreundlich sieht irgendwie anders aus. Dann stehen ja auch Programmpasswörter teilweise daneben. Komisch nur, dass ich die dort nie hinzugefügt habe. Wie auch die anderen Dinge nicht. Woher stammt das? Alles Systemintern? Warum diese Dinge dann nicht auslagern, so dass man da auch keinen Schaden anrichten kann. Anscheinend findet man dort auch das WLAN-PW. Auch irgendwie unnötig. Warum das nicht auch Systemintern verschlüsseln? Genauso wie mit den „Schlüsseln“. Braucht man als normaler User nicht dort haben.
Dazu kommen dann auch Einträge, die sich „Unbekannt nennen“. Dazu auch irgendwelche Container. Beim iPhone ist das sehr viel besser geregelt mMn. Eben als eigene App und nicht mit anderen Kram, den Otto Normalbenutzer nie braucht und die Sache nur unübersichtlich macht. Man hätte auch einen Experten-Modus oder so einfügen können für den ganzen Kram.

Das Potential ist echt hoch, deshalb finde ich es schade, dass man es nicht besser macht und auch von vornherein ein Master-Passwort als Pflicht einführt, bevor man den Schlüsselbund nutzen kann.

Deshalb sehe ich auch hier keinen Kompromiss zwischen Sicherheit und Benutzerfreundlichkeit/Bequemlichkeit. Es ist nämlich gerade irgendwie von beidem nichts!

Ich würde es ja gerne nutzen. Nur habe ich wegen dem im Startpost doch bedenken. Und ich weiß eben nicht, ob ich damit wirklich richtig liege?
 
Das Potential ist echt hoch, deshalb finde ich es schade, dass man es nicht besser macht und auch von vornherein ein Master-Passwort als Pflicht einführt, bevor man den Schlüsselbund nutzen kann.
Gibt es doch: Dein Benutzerpasswort beim Anmelden am Rechner.

Wenn dir das nicht zusagt, wird macOS nichts für dich sein. Aber jetzt mal ehrlich: Mir ist hier kein Fall bekannt, wo sich irgendeine deiner Bedenken bewahrheitet hat.

Über die Übersichtlichkeit könnte man sich unterhalten, ändern werden wir es hier aber auch nicht. Eigentlich muss man aber auch nur sehr selten da dran. Die Passwörter für den Alltag (also im Netz) werden ja von Safari viel übersichtlicher dargestellt. Und davon ab noch automatisch vorgeschlagen.
 
  • Gefällt mir
Reaktionen: BEASTIEPENDENT und dg2rbf
Die (un-)übersichtlichkeit ist historisch gewachsen.

Es ist für normale nutzer *eigentlich* nicht notwendig in der Schlüsselbundverwaltung herumzusuchen. Das Tool richtet sich historisch gesehen stärker an Administratoren. Deshalb ist die auch nicht auf klickibunti optimiert sondern funktional gehalten.


Safari hat z.b. eine eigene - für Nutzer deutlich einfachere - Oberfläche für die im Schlüsselbund gepeicherten Passwörter.


Sinnvollerweise alles einblenden lassen und Wenn du was suchst ist rechts oben ein Suchfeld...

Ich persönlich wünsche mir keine große Änderung der Oberfläche - sie würden es nur verschlimmbessern und man würde eher weniger informationen bekommen. Wenn man die Funktionsweise des Schlüsselbundes kennt macht alles Sinn.

Geh bitte davon aus das alle Einträge wichtig sind.
Ausser abgelaufene Zertifikate - die kannst du ggf. löschen.
Sinn macht das aber auch nur selten..
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: dg2rbf, BEASTIEPENDENT und walfreiheit
Nebenbei: Auch die Schlüsselbundverwaltung hat – wie jedes andere Programm auf deinem Mac – eine Bedienungsanleitung.

Starte die Schlüsselbundverwaltung.app und klicke oben auf »Hilfe«

Bildschirmfoto 2021-02-18 um 15.56.57.jpg
 
  • Gefällt mir
Reaktionen: dg2rbf und BEASTIEPENDENT
Deshalb sehe ich auch hier keinen Kompromiss zwischen Sicherheit und Benutzerfreundlichkeit/Bequemlichkeit. Es ist nämlich gerade irgendwie von beidem nichts!
Der Kompromiss zwischen Sicherheit und Bequemlichkeit den ich meine ist, das man in der Regel die Passworte im iCloud und Anmeldebund speichert und es so per Benutzerpasswort angezeigt wird, aber das Benutzerpasswort wird für jedes gespeicherte Passwort nochmals gesondert abgefragt, hast du also deinen Rechner eingeschaltet, bist angemeldet und ein Fremder würde dann das Schlüsselbund öffnen, müsste der dann um die Passworte zu erfahren auch über dein Benutzerpasswort verfügen, ohne das kommt er nicht ans Passwort).
Es ist perfekt, der Nutzer muss sich um es zu nutzen, um nichts kümmern. Er braucht es nicht aufzurufen um Passworte zu nutzen, das geschieht automatisch. Erst wenn er selber etwas anlegen will, zum Beispiel verschlüsselte Notizen oder eigene Passworte, dann muss er es in der App erledigen.(oder falls es mal nötig ist das Passwort zu sehen/lesen). All das macht ein Passwortmanager auch, unterschiede liegen dann eher im Detail.
Ich kann nur schwer deine Bedenken nachvollziehen, allerdings glaube ich erkennen zu können, das du dich nicht näher mit der Funktionalität der Schlüsselbundverwaltung auseinandergesetzt hast und eher in alten oder anderen Kategorien denkst, als dich auf etwas neues und anderes einzulassen.
So fällt es mir auch schwer eine Verbindung zwischen Apple ID und Schlüsselbund herzustellen oder deine Bedenken, das das 2 verschiedene Passworte voraussetzt, es sind ja unterschiedliche Dienste, da sollte man schon unterschiedliche Passworte haben und in der Schlüsselbundverwaltung ist zum Beispiel das Passwort der Apple ID auch abgelegt.
 
  • Gefällt mir
Reaktionen: geronimoTwo und walfreiheit
Danke an alle für die Antworten :)

Gibt es doch: Dein Benutzerpasswort beim Anmelden am Rechner.
Aber kommt man mit der Apple ID nicht auch rein und hat vollen zugriff auf die Passwörter?

Wenn dir das nicht zusagt, wird macOS nichts für dich sein.
Ach, ansonsten bin ich super zufrieden :)

Über die Übersichtlichkeit könnte man sich unterhalten, ändern werden wir es hier aber auch nicht. Eigentlich muss man aber auch nur sehr selten da dran. Die Passwörter für den Alltag (also im Netz) werden ja von Safari viel übersichtlicher dargestellt. Und davon ab noch automatisch vorgeschlagen.
Aber was ist mit Passwörtern für Programme? Bei mir meldet sich Zoom bspw. automatisch an. Dies müsste doch dort auch gespeichert sein oder nicht? Und wenn ich es löschen will, finde ich dort zwei Einträge, wobei ich mir hier aber nicht sicher bin, ob zu dem Programm gehört oder ich mir mit dem Löschen etwas zerschieße.

@tocotronaut Danke, nur verstehe ich es besser. Aber was ist mit abgelaufenen PWs bzw. welchen, die man löschen will, weil sie ein Programm ansteuern (siehe oben Zoom als Beispiel)?

Nebenbei: Auch die Schlüsselbundverwaltung hat – wie jedes andere Programm auf deinem Mac – eine Bedienungsanleitung.
Fand die Hilfe jetzt nicht soo hilfreich. Trotzdem Danke :)

So fällt es mir auch schwer eine Verbindung zwischen Apple ID und Schlüsselbund herzustellen oder deine Bedenken, das das 2 verschiedene Passworte voraussetzt, es sind ja unterschiedliche Dienste, da sollte man schon unterschiedliche Passworte haben und in der Schlüsselbundverwaltung ist zum Beispiel das Passwort der Apple ID auch abgelegt.
Ok, nun verstehe ich es besser. Im Detail verstehe ich den Schlüsselbund noch nicht, das stimmt. Deshalb meine Frage hier. Ich will mich aber gerne darauf einlassen. Dafür brauche ich nur paar Infos :)
Die Verbindung zwischen Apple ID und Schlüsselbund ist doch die, dass ich den Schlüsselbund mittels Apple ID öffnen kann. Somit könnte ich den Schlüsselbund entweder durch mein PW am Mac oder durch die Apple ID entsperren oder etwas nicht? Aber stimmt, nur ein PW muss ich mir davon merken. Lieber wäre mir aber die Apple ID, weil die auch vom Gerät unabhängig ist; bspw. Verlust.
 
ausprobieren...
Suchfeld -> Zoom

Alles löschen.

Zoom starten und testen.

Notfalls die komplette Keychain aus dem Backup wiederherstellen. ;)

Die Schlüsselbundverwaltung steht jedem Programm offen und jedes Pogramm kann auch mehrere einträge dort anlegen wenn es möchte.
Wenn zoom zwei einträge anlegt ist das wohl so.

Wichtig ist vor allem der Schlüsselbund Anmeldung - Hier liegen die für den Nutzer relevanten Schlüssel und Passwörter.

Der Schlüsselbund System ist für übergeordnete dinge.
Hier können z.b. WLAN Schlüssel abgelegt werden die für alle Benutzer des Systems funktionieren...

Auch Zertifikate aller Art sind im Schlüsselbund hinterlegt.

Bei Windows hast du allein für die Zertifikate schon verschiedene Orte.
Einen expliziten Zertifikatsspeicher und dann auch registry-einträge.
Passwörter kannst du hier erst seit kurzem speichern (jetzt machen sie doch auch einen auf macos) und das wird nur sehr zögerlich angenommen. (weil das system kompliziert und kagge ist)
Anmeldeinformationsverwaltung hat Microsoft sich als Name ausgedacht. kannst ja mal googlen.




Deine lokale Keychain kannst du übrigens nicht mit deiner AppleID Öffnen. Sie ist mit dem Anmeldepasswort Verknüpft.

Lediglich eine in der iCloud gespeichertes Schlüsselbund kannst du mit deiner AppleID Öffnen.
Du kannst einen Zugriff/Abgleich des Lokalen Schlüsselbundes auf das iCloud Schlüsselbund einrichten.

Dazu musst du dann aber das Passwort der AppleID und danach noch das Anmeldepasswort von 1-2 anderen Geräten eingeben, die das iCloud Schlüsselbund nutzen.
Es kann also sein, das dich dein Mac nach der Pin für das iPad fragt.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: BEASTIEPENDENT und dg2rbf
Aber kommt man mit der Apple ID nicht auch rein und hat vollen zugriff auf die Passwörter?
Wo kommt man mit der AppleID rein?
Genau wie bei deinem Benutzerzugang gilt aber natürlich: Dein Passwort kennst nur du. Andere Benutzer haben einen eigenen Benutzerzugang.
Aber was ist mit Passwörtern für Programme? Bei mir meldet sich Zoom bspw. automatisch an. Dies müsste doch dort auch gespeichert sein oder nicht? Und wenn ich es löschen will, finde ich dort zwei Einträge, wobei ich mir hier aber nicht sicher bin, ob zu dem Programm gehört oder ich mir mit dem Löschen etwas zerschieße.
Ja, die Programme legen die Passwörter da auch ab; meist jedoch aber nur als Sting, also nicht im Klartext. Einfach die entsprechenden Einträge löschen. Eine Datensicherung hat man zu Not ja immer parat.
 
  • Gefällt mir
Reaktionen: dg2rbf
Lass die abgelaufenen Passwörter doch einfach drin - fressen doch kein Brot...

Wenn man Zoom startet und ein falsches Passwort eingetragen ist kommt halt eine Fehlermeldung.
Entweder man speichert dann ein neues Passwort ab oder man Entfernt den Haken bei angemeldet bleiben (wenn es so einen gibt.)
Es ist schon die aufgabe der jeweiligen Progamme (wie Zoom) die selbst angelegten Einträge auch zu Pflegen.

Manuell kannst du das auch machen - für die Mail.app muss ich das häufiger tun weil oftmals viele alte einträge da sind - sinnvoll ist es aber nur wenn irgendwelche fehler auftreten.
 
  • Gefällt mir
Reaktionen: dg2rbf
Ok, danke euch :) Dann waren meine Sorgen wirklich unbegründet! Freut mich sehr. Nun muss ich aber dann dafür Sorgen, dass meine PWs am Mac und am iPhone auch sicher sind. Obwohl ich glaube, dass man beim iPhone nicht ohne Face ID dran kommt, wenn man diese aktiviert hat. So jedenfalls ein kleiner Test gerade.

Lass die abgelaufenen Passwörter doch einfach drin - fressen doch kein Brot...
Ja, hast recht. Bin bei so etwas aber immer etwas Monk :D Will das alles super sauber und aufgeräumt haben.
 
Das Problem ist, dass z.b. durch die iCloud unzählige Kryptische Einträge dazukommen.
Na klar, jeder pfurz muss ja auch genehmigt und hinterlegt werden - für jedes angeschlossene gerät.
Und bei einem gerätewechsel dürfe die berechtigungen nicht einfach übernommen werden sondern es muss neu authorisiert werden.
Die vielen einträge sind der Preis eines feingranular steuerbaren Berechtigungssystems.

deshalb wirkt es natürlich erstmal unaufgeräumt.

Und natürlich hat die Schlüsselbundverwaltung noch Verbesserungspotenzial - z.b. wäre es schon gut nur "richtige" passwörter anzeigen zu können.
Keine Token, keine zertifikate - nur passwörter die im klartext zum auslesen bereitstehen. (Menschen Lesbar sozusagen)
aber dann müssten die Programme solche passwörter auch so markieren und schon ändert man das Datenbankformat des Schlüsslbundes und handelt sich ganz andere Probleme ein, an die man jetzt noch nicht gedacht hat.

-> Halte dich an die Suchfunktion. Tippe nur das ein was du suchst. Lösche nur was du genau zuordnen kannst.
Versuche den rest zu ignorieren.
 
  • Gefällt mir
Reaktionen: BEASTIEPENDENT und dg2rbf
Wie hast du das bisher denn bloß gehandhabt?
Für meinen Mac ein PW, das etwas länger ist und Sonderzeichen und Zahlen beinhaltet. Aber Eben auch leicht zu merken ist. Und für mein iPhone eben einen 6-Stelligen Standard-Code. Beim iPhone ist ja super blöd, wenn man mittels Apple-Pay zahlen will und durch die Maske nicht das Gesicht erkannt wird und mann dann einen 20-Stelligen Code eingeben muss.
 
Ja, es ist schon immer ein abwägen zwischen Bequemlichkeit und Sicherheit.

Da das richtige Maß zu finden ist der Heilige Gral bei allen IT-Sicherheitskonzepten.




p.s.:
Jetzt kommt eine auf Masken optimierte Gesichtserkennung - Sicherer wird es dadurch nicht, aber bequemer...
 
  • Gefällt mir
Reaktionen: BEASTIEPENDENT und dg2rbf
dass man beim iPhone nicht ohne Face ID dran kommt, wenn man diese aktiviert hat.
FaceID ist eine bequeme Abkürzung und sorgt nicht für mehr Sicherheit! Gesichert wird das iPhone trotzdem ausschließlich über den festgelegten Code. Wenn du also "HalloWelt" als Code benutzt (bzw. das Ziffernpendant, äh, moment, mal gucken: 422569358) dann kann man das iPhone auch über diesen Code entsperren, FaceID hin oder her.
 
  • Gefällt mir
Reaktionen: walfreiheit und dg2rbf
Danke nochmal :)
Eine kleine Frage habe ich noch: Damals habe ich die PWs meiner Apps nicht im Schlüsselbund gespeichert. Aber eben Face ID aktiviert. Nun würde ich gerne diese Passwörter aber im Schlüsselbund haben. Wie kann man das zurücksetzen, dass ich überall wieder gefragt werde; auch auf Websites (bei Websites reicht das vorgehen für das iPhone. Beim Mac scheint es mittels der Löschung der Seiten aus dem Safari-PW-Manager zu funktionieren)?
 
Hallo!

Lassen sich sichere Notizen aus dem MacOS Schlüsselbund nicht mit dem iPhone synchronisieren? Auf dem zweiten Mac sind diese via iCloud sync vorhanden.
Passwörter die man manuell im Schlüsselbund eingegeben hat (ohne Loginfunktion) werden auch nicht auf das iPhone synchronisiert (auf dem anderen Mac schon).
So macht der Schlüsselbund als Password Manager ja keinen Sinn.
Habt ihr da andere Erfahrungen?
 
Interessanter Thread. Ich hab schon wieder ein paar neue Dinge gelernt :)

Hab jetzt auch zum ersten Mal in die Schlüsselbund-App reingeschaut. Bei mir sind unter "Schlüssel" insgesamt 4 Schlüssel aufgelistet. Alle mit dem gleichen Namen <key>. Zwei von den 4 sind als "Privater Schlüssel" und die beiden anderen als "Öffentlicher Schlüssel" aufgeführt.

Ich hätte jetzt spontan erwartet, dass da nur ein privater und ein dazugehöriger Schlüssel auftaucht. Ist das richtig so? Oder muss ich da eingreifen?
 
Zurück
Oben Unten