Hallo,

gibt es einen Weg, um den kompletten Schlüsselbund manuell auf einen neuen Mac zu migrieren?
Mir geht es natürlich vor allem darum die vielen Passwörter (Accounts, Logins etc.) nicht neu anlegen zu müssen.

Danke für Tipps
Fadenschein

Theoretisch kannst du die Schlüsselbund-Datei von einem Rechner auf den anderen kopieren und dort öffnen. Eventuell würde ich Kennwörter dann von dem zusätzlichen Schlüsselbund in den Schlüsselbund „Anmeldung“ kopieren, bei Zertifikaten kann das schwieriger werden.

Die meisten werden aber vermutlich den Schlüsselbund per iCloud synchron halten. Ist schon ewig her, dass ich das mal gemacht habe.

Das geht nicht nur theoretisch.

Wenn man auf Nummer Sicher gehen will, kann man einfach den gesamten Inhalt von ~/Library/Keychains auf das andere System herüberholen. Das habe ich das eine oder andere Mal gemacht und bislang klappte es immer problemlos.

Wenngleich ssb vermutlich Recht hat, daß die meisten ihren Schlüsselbund mit der "Cloud" synchronisieren, würde ich das grundsätzlich nicht tun. Paßwörter und private Schlüssel haben meiner Ansicht nach nichts auf fremden Rechnern verloren.

Peter Eckel: Meinst Du den Ordner Keychains der Library im Root (ist das die Tilde?) oder im Benutzer? Oder beide?
In diesem Apple Support Doc ist vom Benutzerordner die Rede ...

Natürlich nur Benutzer. Die Root-Keychaines sind Systemdateien, die in macOS enthalten sind. (Die Tilde steht für Benutzerordner. root ist /.)
Und warum fragst Du dann noch? Traust Du Apple nicht?

Ernsthaft? Die Sammlung aller wichtigen Passwörter in der Cloud?

Den iCloud Schlüsselbund hab ich auch ausgeschaltet. Besser ist das!

Werden diese nicht explizit verschlüsselt übertragen?

"Verschlüsselt übertragen" ist eher uninteressant. Heute wird praktisch alles verschlüsselt übertragen.

Was Du meinst ist, daß die Daten, die übertragen werden, bereits vor der Übertragung mit einem Apple nicht zugänglichen Schlüssel und ohne jegliche Zusatzschlüssel verschlüsselt sind und es am Zielort auch bleiben. Das muß man aber - mangels Einblick in die Verschlüsselungsverfahren bei iCloud Keychain - glauben.

Bei den zur Diskussion stehenden Daten (Paßwörter, private Schlüssel etc.) glaube ich gerade mal niemandem. Auch Apple nicht.

Wie Weia schon schrieb: Die im System-Library-Ordner sind uninteressant, das sind hauptsächlich mal die Trust Anchors und die kommen ohnehin mit dem System. Deine Keychain liegt im Library-Ordner in Deinem Benutzerverzeichnis, dafür steht die Tilde.
Das ist erfreulich, dann steht da kein Unsinn

Danke, alles klar. Hoffentlich merk ich mir den Unterschied zwischen ~ und /.

Eine Freundin hat mir mal erklärt, sie merke es sich so:

Wenn sie selbst rechne, seien jegliche Rechenergebnisse stets nur „ungefähr“, und was ihr Computer treibe, sei mitunter schräg.

Im Ernst: Jegliche Bestandteile eines Pfades werden ja durch / getrennt, wenn da nur / steht, ist das also die „Mutter aller Pfade“ a.k.a. root.

Und ~ ist ja einfach nur eine Abkürzung für den ersten Teil eines Pfades zu einem Deiner Dokumente, also eben für /Benutzer/Roobert, damit Du das nicht jedes Mal dazuschreiben musst. Bei root = / kann natürlich nix weiter abgekürzt werden.

Man mag Apple da vertrauen oder auch nicht. Die Schlüsselbunddateien sind „in rest“, also wo auch immer sie in einem Dateisystem liegen, verschlüsselt. Der Schlüssel wird bei der Erstellung auf dem ersten Gerät dynamisch erzeugt und dann an andere Geräte, die mit dem iCloud-Account verbunden sind, ausgetauscht. Dafür gibt es Key Exchange Protokolle, die verhältnismäßig sicher sind und vor Allem diesen Schlüssel nicht auf die iCloud ablegen. Was man davon sieht ist nur die Mitteilung: „Neues Gerät hinzugefügt - ok?“.

Wenn man einige Geräte benutzt, dann wird man den Schlüsselbund meist übertragen, weil es anders nicht geht, außer man gibt die Passwörter auf jedem Gerät manuell ein. Ist schon genug Aufwand, meine nicht-Apple Geräte auf dem Stand zu halten.

Es ist wahrscheinlicher (wie die Erfahrung zeigt), dass bei Diensten die Passwörter gestohlen werden. Bei wichtigen Accounts sollte man ohnehin 2FA nutzen - und was wichtig ist, kann man in der Regel selbst entscheiden.

Interessant!
Allerdings steht im Apple Dokument auch

Wie kann ich den kompletten Schlüsselbund kopieren?
Was ich bisher Probiert habe: In der Schlüsselbundverwaltung Schlüssel/Passwörter manuell von "Lokale Objekte" nach "Anmeldung" verschieben. Das hat nicht funktioniert, die Schlüssel lassen sich schlicht nicht verschieben. Bei mir liegen die Passwörter leider verstreut über Lokale Objekte und Anmeldung. (macOS High Sierra 10.13.6)

Gibt es eine Möglichkeit des kompletten_kompletten Schlüsselbund auf eine neue Maschine zu kopieren, ohne iCloud zu verwenden?

Woher weißt Du das? Das ist doch genau der Knackpunkt.

Ich weiß, daß es sichere Key Exchange-Protokolle gibt. Aber ich weiß nicht, wie sie bei Apple zum Einsatz kommen. Wenn Du das aus sicherer Quelle weißt, dann bin ich interessiert. Aber nach allem, was ich weiß, ist das erst einmal eine Black Box, der man eben vertrauen kann oder nicht.

Und ich muß auch gestehen, daß mein Vertrauen in Apple seit der Nummer mit dem lokalen Bilderscan sehr stark gelitten hat. Das ist übrigens noch ganz und gar nicht ausgestanden:
OK, die Sachlage ist bei mir eine andere - ich verwende den Schlüsselbund nur da als Paßwortverwaltung, wo es nicht anders geht (z.B. für Mailaccounts, und die provisioniere ich per Profil, muß also auch da nichts manuell einrichten).

Alle anderen Paßwörter sind in einem Paßwortsafe mit Synchronisation über einen entsprechend abgesicherten internen Server, der auch gar nicht erst vom Internet aus erreichbar ist. Mit der Komforteinschränkung, daß die Synchronisation nur im internen Netz möglich ist, kann ich gut leben - besser als damit, einen wie gut auch immer verschlüsselten Paßwortspeicher in Reichweite anderer abzulegen.
Absolut korrekt. Wobei 2FA nur ein Teil der Lösung ist - ein anderer ist, da sind wir uns sicher auch einig, für wirklich jeden Dienst ein anderes Paßwort zu verwenden, um den Schaden im Falle einer Kompromittierung minimal zu halten.

Ja: die einfache Benutzer-Datenübernahme mit Apples Migrationsassistent.

Darauf macht der Schlüsselbund aufmerksam.
Sogar wenn bei dem gleichen Dienst .com und .de verwendet wird.
Für den Schlüsselbund sind das dann verschiedene und er meckert das ein Passwort 2x verwendet wird.