Fragen zu macOS 10.12 Sierra

[radneuerfinder]

Gemäß den guten Vorsätzen in den langen Winternächten meine IT auf Vordermann zu bringen habe ich mein Macbook von OS X 10.8 auf macOS 10.12 gehievt. Könnte sein dass die Fragendichte auf der Insel demnächst zunimmt.


Beim erstmaligen Start von Sierra wollten viele mir unbekannten Prozesse das Admin Passwort. Aber welcher Trojaner möchte hier Zugriff auf welchen Schlüssel aus meinem Schlüsselund??

[Florian]

Das ist ein OS-X-Systemdienst, der seit Mavericks sein Unwesen zu treiben scheint.
Verwendest Du den iCloud-Schlüsselbund oder generell iCloud? Neues bzw. neu eingegebenes Passwort für die Keychain soll helfen:
https://discussions.apple.com/thread/5473260

[radneuerfinder]

Danke! Die IdentidätsDienste sind anscheind mit ihrem Export zufrieden.

Dafür presste mir "assistantd" schon mehrfach hartnäckig mein Passwort ab. 50 mal auf Abbrechen klicken beeindruckt den Burschen überhaupt nicht. . Das ändern des Anmelde-Passworts hilft leider nix.

[Florian]

Dieser Daemon hängt mit der Diktierfunktion zusammen.

Ich verstehe Dich so, dass Dein Anmeldepasswort auch das Passwort des Schlüsselbunds „Anmeldung“ ist. Also Standard. Falls nicht, solltest Du sie angleichen.

Kann sein, dass Dein Schlüsselbund defekt ist. Anscheinend gibt es in Sierra weder eine „Erste Hilfe“-Funktion in der Schlüsselbund-App noch eine Möglichkeit des Zurücksetzens. Da bin ich überrascht.

Wenn Du die Diktierfunktion nicht benutzt, kannst Du mal schauen, ob sie aktiviert ist und dann deaktivieren. Falls Du sie brauchst, und sonst alles stimmt, wird womöglich ein Neuanlegen des Schlüsselbunds fällig.

[radneuerfinder]

Die Ditkierfunktion ausschalten hat (bisher) geholfen. Aber erst nach einem Neustart.

Dafür war identityservicesd jetzt wieder am Start.     Von iCloud habe ich nur "Find my Mac" an.

[radneuerfinder]

Und da war er wieder, assistantd wollte das Passwort als in das Programm Coconut Battery gestartet habe.

[radneuerfinder]

Wenn ich bei jeder Passwortabfrage hier einen Beitrag schreibe, dann wird das sehr schnell ziemlich lang hier .... 

[radneuerfinder]

"ScopedBookmarkAgent" möchte mal eben den Generalschlüssel zu allen meinen Passwörtern. Was ist das für ein Sicherheitskonzept?? Was will ScopedBookmarkAgent eigentlich? Und ist ScopedBookmarkAgent wirklich ScopedBookmarkAgent?

[Florian]

Nachdem das jetzt schon der dritte Prozess ist, der sich meldet: Ist denn 100% sicher, dass das Passwort des Schlüsselbunds mit dem Account-Passwort übereinstimmt?
Falls ja, fürchte ich beim Update hat es Dir Deinen Anmeldungs-Schlüsselbund beschädigt und Dir bleibt nicht viel anderes übrig als ihn zu neu anzulegen.

Vielleicht will sich aber auch noch Jemand anderes dazu äußern, bevor Du eine solche Maßnahme ergreifst.

[MacFlieger]

Ich stimme Florian zu. Irgendetwas stimmt mit dem Sclüsselbund nicht. Es ist nicht normal, dass man für alle möglichen Zugriffe auf den Schlüsselbund gefragt wird. Das kann man zwar einstellen, das hast Du aber mit Sicherheit nicht absichtlich gemacht.

Daher frage ich mich zunächst auch: Hattest Du bei Deinem Schlüsselbund ein anderes Kennwort gesetzt als bei Deinem Account oder hattest Du irgendwelche Einstellungen in der Schlüsselbundverwaltung gegenüber dem Standard geändert? Also vor dem Update?

[radneuerfinder]

Es ist eine Altlast:
http://www.apfelinsel.de/forum/index.php/topic,3729.0.html
sogar noch von vor meiner holprigen Schlüsselbundmigration:
http://www.apfelinsel.de/forum/index.php/topic,5353.msg74405.html#msg74405

Aber jetzt ist der Umfang der Abfragen untragbar geworden.

[MacFlieger]

Ah, ok. Ich war davon ausgegangen, dass es vor dem Update vernünftig funktioniert hat.

Ich würde versuchen, erst einmal wieder einen "normal" funktionierenden Schlüsselbund "Anmeldung" zu bekommen und danach versuchen, die alten Einträge in den neuen Schlüsselbund umzuziehen.

Wie das genau funktioniert, weiß ich leider auch nicht.

Ich würde es so versuchen:
- Den alten Schlüsselbund umbenennen, damit er nicht mehr als normaler Anmelde-Schlüsselbund benutzt wird. Dann neu booten.
- Nach dem Booten sollte der alte Schlüsselbund nicht mehr automatisch verwendet und ein neuer funktionierender Anmeldeschlüsselbund angelegt werden.
- Dann würde ich nachschauen, ob die Einstellungen in der Schlüsselbundverwaltung "normal" sind, d.h. der Anmeldeschlüsselbund wird beim Einloggen aufgeschlossen und erst beim Abmelden abgeschlossen.
- Erst dann würde ich versuchen, die alten Einträge aus dem alten umbenannten Schlüsselbund zu transferieren.

[radneuerfinder]

Ich habe jetzt mal den Haken bei "Schlüsselbund Anwendung nach 3 Minuten schützen" weggemacht. Das scheint zu nützen.

Jetzt macht der Mac aber nicht mehr was ich möchte: Neben der Useranmeldung eine zusätzlichen Schutz vor meinen Passwörtern aufzubauen. Ich möchte den Tresor in dem die Passwörter liegen nur bei Bedarf öffnen. Ic hdachte, das ist exakt die Aufgabe eines Passwortmanagers?? Am liebsten würde ich hier differenzieren: die Anmeldung an der Apfelinsel läuft automatisch durch, die Anmeldung auf Seiten, wo man Geld ausgeben kann, fragt nach einem Generalpasswort. Mail.app und Telefon.app bekommen einmalig eine Autorisierung für ihre verschlüsselten Anmeldungen.

Und wer sind denn all diese Trojaner (System?)Dienste, die ab sofort, dank meiner Generallvollmacht, auf meinem Mac rumfuhrwerken dürfen? Was machen die da? Ermächtigen die sich zum Admin Prozess? Greifen die (potentiell) auf meine Passwörter zu? Mein Generalpasswort ist doch der Schlüssel dafür??

[MacFlieger]

Ich habe jetzt mal den Haken bei "Schlüsselbund Anwendung nach 3 Minuten schützen" weggemacht. Das scheint zu nützen.

Ach so, Du hast absichtlich eingestellt, dass Du den Schlüsselbund ständig wieder öffnen musst. Dann ist das Verhalten kein Fehler, sondern gewollt.

Jetzt macht der Mac aber nicht mehr was ich möchte: Neben der Useranmeldung eine zusätzlichen Schutz vor meinen Passwörtern aufzubauen. Ich möchte den Tresor in dem die Passwörter liegen nur bei Bedarf öffnen. Ic hdachte, das ist exakt die Aufgabe eines Passwortmanagers??

Und genau das ist doch das Verhalten bei Dir. Bei Bedarf, also immer, wenn ein Programm auf von ihm hinterlegte Daten im Schlüsselbund zugreifen will und der Schlüsselbund verschlossen ist, wirst Du nach dem Kennwort gefragt. Ist nur ziemlich nervig, wie Du selber feststellst, da viele Programme dort Daten ablegen.

Am liebsten würde ich hier differenzieren: die Anmeldung an der Apfelinsel läuft automatisch durch, die Anmeldung auf Seiten, wo man Geld ausgeben kann, fragt nach einem Generalpasswort. Mail.app und Telefon.app bekommen einmalig eine Autorisierung für ihre verschlüsselten Anmeldungen.

Genau das kannst Du bei jedem Eintrag im Schlüsselbund einzeln festlegen. Der Schlüsselbund selber muss aber offen sein. Mach mal einen Doppelklick auf einen Eintrag im Schlüsselbund. Unter dem Reiter "Zugriff" kannst Du definieren, wie darauf zugegriffen werden kann und welches Programm zugriffsberechtigt ist.

Und wer sind denn all diese Trojaner (System?)Dienste, die ab sofort, dank meiner Generallvollmacht, auf meinem Mac rumfuhrwerken dürfen?

Das dürfen sie doch gar nicht. Standardmäßig können Programme nur auf Daten zugreifen, die sie selber im Schlüsselbund abgelegt haben und auf keine anderen.

Was machen die da? Ermächtigen die sich zum Admin Prozess? Greifen die (potentiell) auf meine Passwörter zu? Mein Generalpasswort ist doch der Schlüssel dafür??

Nichts von alle dem. Das Kennwort erfragt nicht das jeweilige Programm und es erfährt auch nichts von diesem. Ein Programm kann Daten (meist Kennwörter etc.) im Schlüsselbund speichern. Standardmäßig kann ein Programm auch nur auf diese selbst erstellten Einträge zugreifen. Es versucht darauf zuzugreifen und dann fragt evtl. die Schlüsselbundverwaltung nach dem Kennwort, um dies zu erlauben.
Das ganze dient nur dazu, dass Programme sicherheitsrelevante Daten an einer zentralen Stelle ablegen können, ohne dass sie sich selber um eine sichere Speicherung (z.B. in einer verschlüsselten Datei) kümmern müssten.

[radneuerfinder]

Ich möchte den Tresor in dem die Passwörter liegen nur bei Bedarf öffnen. Ic hdachte, das ist exakt die Aufgabe eines Passwortmanagers??

Und genau das ist doch das Verhalten bei Dir.

Nein. Auf eine gewünschte Abfrage kommen 50 unerwünschte.   Unerwünscht sind z.B. alle Abfrogen bei denen mir danach kein Passwort angezeigt wird.

Unter dem Reiter "Zugriff" kannst Du definieren, wie darauf zugegriffen werden kann und welches Programm zugriffsberechtigt ist.

Ok, verstanden. D. h. ich muss jetzt alle 500 Schlüssel einzeln durchforsten?

Und wer sind denn all diese Trojaner (System?)Dienste, die ab sofort, dank meiner Generallvollmacht, auf meinem Mac rumfuhrwerken dürfen?

Das dürfen sie doch gar nicht.

Schön. Die Frage ist doch, ob sie könnten? Ich gebe also mir Unbekannten einen Generallschlüssel für alle Schließfacher in die Hand, vertraue aber darauf, dass sie nur ihr Schließfach aufmachen? Was ist denn das für ein "Darf nicht" Mechanismus?

Das ganze dient nur dazu, dass Programme sicherheitsrelevante Daten an einer zentralen Stelle ablegen können, ohne dass sie sich selber um eine sichere Speicherung (z.B. in einer verschlüsselten Datei) kümmern müssten.

Das klingt sinnvoll. Aber warum nutzt das System nicht einen eigenen Tresor? Dann würde es mich auch nicht behelligen wenn ich die von mir individuell eingetragenen Sachen schützen möche.