Verschlüsseltes Time Machine Backup auf SSD und NAS - Passwort

[StnMac]

Hallo zusammen,
folgendes Setup kurz zusammengefasst:

• MacBook Air M2 und MacOS 14.7.6 mit aktivierten FileVault
• Schlüsselbund in iCloud deaktiviert
• 2 Time Machine Backup Ziele:
  • 1) Verschlüsseltes Time Machine Backup auf SSD via USB und den Haken "Passwort im Schlüsselbund merken" beim Mount des verschlüsselten APFS Containers nicht gesetzt
  • 2) Verschlüsseltes Time Machine Backup auf NAS (separater passwortgeschützer Share)

Das NAS als weiteres Backup-Ziel kam erst vor kurzem dazu und jetzt habe ich mich gewundert, dass er mich beim weiteren Backup auf den NAS Share nicht nach dem Passwort fragt. Wenn ich die externe SSD via USB anstecke muss ich erst jedes mal das Passwort eingeben damit der verschlüsselte APFS Container überhaupt gemounted werden kann. Anschließen funktioniert auch dort das Time Machine Backup ohne weiteres Passwort.

Ich habe mich nun aber gewundert, dass mich Time Machine nicht nach dem Passwort fragt, wenn es ein weiteres Backup auf das NAS macht. Darauf hin habe ich dann mal im lokalen Schlüsselbund auf meinen MacBook nachgesehen und dort finde ich nun für beide Backupziele folgende Einträge:

MacBook Air - Time Machine-Verschlüsselungspasswort - Ort: Backup SSD
MacBook Air - Time Machine-Verschlüsselungspasswort - Ort: afp://<USERNAME>@<NAS_NAME>/backup_NAS

Wenn ich bei den Einträgen auf Passwort anzeigen klicke, sehe ich auch das Passwort in Klartext. Warum speichert Time Machine das Time Machine-Verschlüsselungspasswort automatisch im (lokalen) Schlüsselbund? Wie kann ich das verhindern? Ich möchte das eigentlich jedes mal manuell eingeben und nicht gespeichert haben.

MacOSx fragt mich doch auch bei jedem Mount des verschlüsselten APFS Container nach dem Passwort und ob ich dies im Schlüsselbund speichern will - warum also nicht auch beim Time Machine Backup selbst?

Dank Euch.

 

[lisanet]

Es geht nicht, da TimeMachine im Grund auf automatisches Speichern ausgelegt ist (auch wenn man manuell starten kann)

Deine "Sicherheitsbedenken" gegen die Speicherung im Schlüsselbund und auch in der Cloud sind zudem unbegründet.

 

[StnMac]

Es geht nicht, da TimeMachine im Grund auf automatisches Speichern ausgelegt ist (auch wenn man manuell starten kann)

Deine "Sicherheitsbedenken" gegen die Speicherung im Schlüsselbund und auch in der Cloud sind zudem unbegründet.

Naja, ob die "Sicherheitsbedenken" begründet sind oder nicht ist Ansichtssache - bei anderen Verschlüsselungstools wie z.B. VeraCrypt ist es u.a. ein Angriffsvektor den Schlüssel während der Container entschlüsselt ist aus dem Memory zu extrahieren. Ein persistierendes Speichern wie beim Time Machine Backup ist nochmal viel schlimmer.

Ich habe das Time Machine Backup auf manuell gestellt und wenn ich die Option beim Öffnen des verschlüsselten APFS Containers habe macht es ja eigentlich auch nur Sinn diese Option ebenfalls beim eigentliche Time Machine Backup zu haben, denn es ist ja sinnlos das Passwort für den APFS Container nicht zu speichern aber das Passwort für das Time Machine Backup hingegen schon, da es ja das gleiche ist :-/

 

[lisanet]

Naja, ob die "Sicherheitsbedenken" begründet sind oder nicht ist Ansichtssache - bei anderen Verschlüsselungstools wie z.B. VeraCrypt ist es u.a. ein Angriffsvektor den Schlüssel während der Container entschlüsselt ist aus dem Memory zu extrahieren. Ein persistierendes Speichern wie beim Time Machine Backup ist nochmal viel schlimmer.

Das hat nichts mit Ansichtssache zu tun. Lies mal das security whitepaper von Apple. Die Verschlüsselung erfolgt mehrstufig in Verbindung mit der secure enclave. Daraus lässt sich nichts auslesen. Das PW wird auch nicht im Klartext im RAM gehalten.

Aber du darfst natürlich eine x-beliebige Ansicht haben.

Ein keylogger-Angriff ist einfacher als das was du befürchtest

Ich will dich nicht überzeugen sondern zum Nachdenken anregen ob deine Befürchtungen tatsächlich so relevant und realistisch sind.