Moin, mir ist gestern beim Einrichten meines neuen Minis etwas Kurioses widerfahren. Was genau passiert ist, kann ich nicht mehr sagen. Irgendetwas mit der Apple ID. Jedenfalls wurde ich nach meinen Passwort des Benutzeraccounts gefragt. Ist das normal? 2FA ist an.

RamUwe
Ja. Hatte ich auch schon mal.

Was ja bedeutet, Apple kennt dein Benutzerpasswort vom Mac! Und das ist mir nicht geheuerlich, dann das Benutzerpasswort finde ich gehört lokal gespeichert und nur dort.

Äh wie? Woraus kann man denn das schließen?

Benutzerkennworte dürfen übrigens niemals gespeichert werden, noch nicht einmal lokal. Beim Überprüfen von Kennworten wird ein mathematisches Verfahren verwendet, das erkennen kann, ob die jetzige Eingabe zu einer früheren Eingabe passt, ohne dass man das Kennwort irgendwo gespeichert haben müsste.

Als ich meinen iMac mit dem Migrationsassistenten eingerichtet hatte, wurde (zur Übernahme meines Benutzeraccounts) auch das Passwort abgefragt.

Etwas Kontext:

Ich hatte beim Einrichten mehrmals das Kennwort für die Apple ID falsch eingegeben ... aus Versehen. Das führte offenbar dazu, dass die Apple ID überprüft werden musste. Im Zuge dessen kam die Abfrage nach dem Benutzerpasswort vom Mac. Ich habe das Benutzerpasswort eingegeben. Das gehörte ja zum Überprüfungsverfahren. Gespeichert ist es nur in meinem Kopf. Ich würde gerne wissen, warum und wozu Apple das Benutzerpasswort abfragt.

Ja, so meinte ich es auch, hatte es nur zu kompakt ausgedrückt. Aber auch dieses verarbeitete Passwort gehört nicht zu Apple, um das geht es mir. Denn wenn es irgendwer hat, dann kann er in aller Ruhe mit BruteForce das Passwort zu entschlüsseln versuchen, ohne Blockade bei zu vielen Fehlversuchen, und mit der Rechenleistung des Angreifers. Und darum Misstraue ich all den Clouddiensten, und Apple macht es immer schwieriger, da raus zu bleiben

Nicht Apple will das Passwort, sondern macos und das will auf den Schlüsselbund zugreifen. Dort sind die DeviceIdentifier abgelegt.

RamUwe:
Weil es eine entweder eine zusätzliche Prüfung ist oder weil in deinem Schlüsselbund Daten drin stehen die in genau diesem Fall überprüft werden oder zu "Freischaltung" verwendet werden. Wenn du also auch keinen Zugang zu deinem Schlüsselbund mehr hast, wird die Freischaltung eben aufwändiger...

Aber das war keine „klassische“ Schlüsselbundabfrage. Sie sah jedenfalls nicht so aus.

Ohne dass Du sagst, wer diese Abfrage gestellt hat, ist die ganze Diskussion wertlos.

Kam die Abfrage von außerhalb des Mac (z.B. von einer Webseite von Apple)?
Wenn auf dem Mac: Welches Badge Icon wurde neben dem Schlosssymbol im Kennwortdialog gezeigt?

Wie andere schon erwähnt haben, kann auf dem Mac eine Aktion ausgelöst worden sein, bei der geschützte Daten von macOS aktualisiert werden mussten. Hierzu muss macOS nach einem Administratorkennwort fragen (das kann ein beliebiger Administrator sein, der mit der Apple-ID nichts zu tun hat), damit das speichernde Programm Schreibrecht erhält.

Abfrage kam vom Mac während der Überprüfung der Apple ID. Badge Icon war 1 bei Einstellungen.

Aber es geht doch hier um das Passwort, um den Schlüsselbund zu öffnen, also das Loginpasswort. Es geht nicht darum, was im Schlüsselbund drin ist.
Ich hatte auch mal die Situation, dass ich im Apple-Store einen iPod freischalten musste, und da der keine Simkarte hat, musste ich das Loginpasswort des Mac-Accounts im iPad vom Mitarbeiter eingeben (bitte diesen Satz auf der Zunge zergehen lassen).
Zurück zum Zitat: natürlich braucht macos das Passwort, um den Schlüsselbund zu öffnen, daher gebe ich dir recht, Apple braucht es nicht aber Apple hat es (in verarbeiteter Form), sonst hätten sie mein Loginpasswort vom Mac mit ausgeschaltetem Mac nicht überprüfen können. Und das finde ich nicht toll, sicherheitstechnisch sogar eine Katastrophe.

chh, was schreibst du denn da für ein Zeug?

Im App-Store wurde nicht das Passwort von deinem Mac verlangt, sondern das Passwort vom iPod und / oder das Passwort von iCloud.

Eben nicht, es wurde das Loginpasswort meines ausgeschalteten Mac zu Hause verlangt, nicht das vom iPod und nicht das von iCloud. Ich habe überall andere Passwörter und bin mir daher sicher was ich schreibe. Auch waren wir zu zweit und haben das mit schaudern Nachdiskutiert.
Warum ich immer mit Minuspunkte abgestraft werde ist mir nicht klar. Sind meine Beiträge unsachlich/beleidigend/falsch/unpassend?

ich finde es auch überflüssig, minusbewertungen zu verteilen, wenn jemand mitdiskutiert, um ein problem zu lösen; das hier besprochene ist ja nicht so trivial, dass jeder alles gleich mit-/nachvollziehen kann – sonst stünde ja die jeweilige frage nicht im raum.

Das ist sehr unglaubwürdig, da es "das Loginpasswort eines Mac" als solches gar nicht gibt.

Ein Mac ist ein Mehrbenutzerbetriebssystem und kann deshalb beliebig viele Benutzer, beliebig viele Administratoren und beliebig viele Kennworte haben. Jeder dieser Benutzer kann zudem mit mehreren Apple-IDs verknüpft sein oder auch mit gar keiner. Welches soll da "das richtige" Kennwort sein? Zudem ist es technisch möglich, die gesamte Benutzerverwaltung eines Mac auf ein anderes System auszulagern, z.B. einen Microsoft Active Directory Server.

Es ist also nicht nur so, dass der Mac die Benutzerkennworte überhaupt nicht kennt (er kann sie höchstens überprüfen, und nur wenn er läuft), noch nicht einmal die Benutzer-Accounts müssen auf dem Mac gespeichert sein.

Danke für Eure Beiträge! Habe jetzt Apple ID und mein Benutzerpasswort noch einmal geändert. Nur zur Sicherheit.

War heute nicht der einzige Fehler. Beim Clean Install gab es offenbar auch einen Fehler. Hatte die Meldung "macOS konnte auf deinem Computer nicht installiert werden." Vorher ging es auch ohne Probleme mit dem Mojave-Stick. T2 war aus. Hab dann ne Diagnose durchlaufen lassen. Ohne Fehler. ADP000. Hab dann einfach noch einmal den APFS-Container gelöscht und noch einmal installiert. Dann ging es. Bisher läuft es.

Beim Aktivieren der 2FA wird an den Macs, die mit der gleichen AppleID verknüpft sind auch das Benutzerpasswort des entsprechenden Accounts von Apple abgefragt. Dann wird sicher ein entsprechender Hash gespeichert und wenn, so wie beim Thread-Ersteller geschehen, die AppleID überprüft werden muss, dann greift Apple darauf zurück und fragt das Kennwort ab. Klingt für mich insofern völlig logisch, was hier passiert ist.

Da toben sich wohl Pubertiere aus, die mit Likes und Disklikes großgezogen wurden und denen die Gabe fehlt oder vielleicht auch nur der Wille, sich mit Wörtern zu artikulieren.

Meine Güte, warum interessiert sich hier überhaupt jemand für Bewertungen von Usern die man noch nicht einmal kennt. Sind wir hier in der Schule oder bei Papa oder Mama?

Vielleicht sollten wir aufhören, die virtuelle Welt mit der realen Welt zu vermischen und keine Trennung mehr herstellen zu können. Das erzeugt auf Dauer ernsthafte psychische Thematiken, die keiner haben möchte!