Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Mac-Tipp: Die Schlüsselbunde von macOS und ihre Inhalte

Mac-Nutzer können seit Jahrzehnten auf einen Passwortmanager zurückgreifen, welcher ins Betriebssystem integriert ist. macOS beinhaltet nämlich die sogenannte Keychain, in der deutschen Ausgabe als Schlüsselbund bekannt. Ursprünglich handelte es sich dabei um eine einzelne geschützte Datenbank, in der sich Zugangsdaten etwa zu Onlinediensten oder App-Daten ablegen ließen. Diese Funktion erfüllen die Keychain und das zugehörige Dienstprogramm namens Schlüsselbundverwaltung bis heute. Im Laufe der Jahre erweiterte Apple das Feature immer wieder um zusätzliche Funktionen und nahm darüber hinaus auch Änderungen vor, etwa welche sensiblen Informationen wo gespeichert werden. Mittlerweile enthält macOS daher gleich mehrere Schlüsselbunde.


Apple unterscheidet zwei Schlüsselbundtypen
Grundsätzlich unterscheidet Apple in macOS zwei verschiedene Schlüsselbundtypen: rein dateibasierte und „Data Protection Keychains“. Letztere lassen sich mithilfe der Secure Enclave schützen und somit biometrisch etwa durch Touch ID absichern. Dieser Schlüsselbund kommt unter anderem bei der Speicherung von Passkeys zum Einsatz, aber auch bei der Synchronisierung von Zugangsdaten durch den iCloud-Schlüsselbund. Eine lokale Kopie der „Data Protection Keychain“ ist einem Blogbeitrag des bekannten Entwicklers Howard Oakley zufolge unter ~/Library/Keychains/[UUID]/keychain-2.db zu finden, bei der UUID handelt es sich um die dem Mac zugewiesene Kennung. Verwendet man den iCloud-Schlüsselbund nicht, taucht diese Keychain in der Schlüsselbundverwaltung unter der Bezeichnung „Lokale Objekte“ auf. Auf einen anderen Mac kopieren kann man einen derartigen Schlüsselbund laut Apples entsprechendem Support-Dokument nicht.

Anmeldeschlüsselbund als zentraler Passwortspeicher
macOS stellt jedem Benutzer einen eigenen Anmeldeschlüsselbund zur Verfügung, welcher in der Datenbank ~/Library/Keychains/login.keychain-db gespeichert und mit dem Userpasswort geschützt ist. Er wird automatisch bei jedem erfolgreichen Login entsperrt. In dieser Keychain können Mac-Nutzer standardmäßig sämtliche Zugangsdaten, Zertifikate sowie zahlreiche weitere Informationen sicher ablegen. Der Anmeldeschlüsselbund wird zudem von zahlreichen Apps genutzt, um etwa Passwörter zu speichern. Ob eine Anwendung jedoch tatsächlich ohne Weiteres automatisch darauf zugreifen kann, hängt davon ab, ob macOS sie als vertrauenswürdig einstuft. Ist das nicht der Fall, verlangt das Betriebssystem vom Nutzer die Eingabe des Login-Passworts und übermittelt der App erst danach die angeforderten Daten. Konfigurieren oder gar außer Funktion setzen lässt sich diese Sicherheitsmaßnahme nicht.


Die Schlüsselbundverwaltung von macOS

Nutzer können zusätzliche Schlüsselbunde anlegen
Verfügt man über eine sehr große Zahl von Zugangsdaten und anderen schützenswerten Informationen, lassen sich zusätzliche individuelle Schlüsselbunde anlegen. Das erfolgt im Menü der Schlüselbundverwaltung unter „Ablage“ „Neuer Schlüsselbund“. Auf diese Art und Weise kann man Passwortsammlungen beispielsweise klassifizieren und nach eigenen Vorlieben strukturieren. Apps könne ebenfalls eigene Keychains erzeugen. Auf SSD oder Festplatte zu finden sind diese Schlüsselbunde im Ordner mit der Bezeichnung ~/Library/Keychains. Vom Anmeldeschlüsselbund unterscheiden sie sich in einem wichtigen Punkt: Der Zugriff ist in aller Regel standardmäßig gesperrt und muss stets durch die Eingabe des bei der Erstellung festgelegten Passworts freigegeben werden.

macOS verfügt über zwei systemeigene Schlüsselbunde
Das Mac-Betriebssystem verfügt darüber hinaus über zwei weitere Keychains, welche in der Schlüsselbundverwaltung unter „Systemschlüsselbunde“ aufgelistet sind. Die Datenbank mit der Bezeichnung „System“ enthält Passwörter und Zertifikate, welche für alle Benutzer benötigt werden. Dazu zählen unter anderem WLAN-Zugangsdaten und VPN-Verbindugen. Im Schlüsselbund „SystemRoot“ speichert macOS sämtliche Sicherheitszertifikate, welche das Betriebssystems an Bord hat und denen etwa beim Zugriff auf Webseiten vertraut wird.
Kurz: Netflix-Preiserhöhung auch für Bestandskunden +++ Passkey-Unterstützung für WhatsApp
Kurz: Netflix-Preiserhöhung auch für Bestandsku...
Kurz: macOS 14.5 und AirDrop-Benachrichtigungen +++ Dünnere Apple Watch durch neues Material?
Kurz: macOS 14.5 und AirDrop-Benachrichtigungen...
Kurz: Beliebige KI-Musik mit Udio komponieren (lassen) +++ Spotify "Music Pro" auf dem Weg?
Kurz: Beliebige KI-Musik mit Udio komponieren (...
Apple-Event angekündigt
Apple-Event angekündigt
Sky Q: Apple-TV-Nutzer ausgesperrt mit Fehler 42010
Sky Q: Apple-TV-Nutzer ausgesperrt mit Fehler 4...
EU greift durch: Apple darf iPadOS nicht mehr vor Konkurrenz abschotten – Regeln wie für iOS müssen greifen
EU greift durch: Apple darf iPadOS nicht mehr v...
Rückmeldungen zu iOS 17.4 und iPadOS 17.4
Rückmeldungen zu iOS 17.4 und iPadOS 17.4
Test Kopfhörer FiiO FT5
Test Kopfhörer FiiO FT5

Kommentare

lautsprecher07.08.23 19:24
Danke für diesen kleinen Grundsatzartikel. War wertvoll für mich.

Wenn ich einen Wunsch zum Thema Schlüsselbund in Richtung Apple formulieren dürfte, dann würde ich mir eine smarte App wie beispielsweise 1Password oder Enpass wünschen. Wieso das so umständlich und aus meiner Sicht benutzerunfreundlich in der aktuellen Form gestaltet wurde ist mir ein Rätsel.
+14
exi
exi07.08.23 19:33
Nicht beantwortet in den fünf Absätzen die Frage, die ich mir bei Passwortmanagern immer als ERSTES stelle: Wie sicher ist das und darf das in die "Cloud"?
+1
win00207.08.23 19:50
Schön, dass ihr immer regelmäßig Basic Artikel bringt.
Ein paar Fragen von mir habt ihr beantwortet
+5
HarryEinfachNurHarry07.08.23 20:03
exi
Nicht beantwortet in den fünf Absätzen die Frage, die ich mir bei Passwortmanagern immer als ERSTES stelle: Wie sicher ist das und darf das in die "Cloud"?
Ist Ende-zu-Ende verschlüsselt, also fein.
In die Cloud „muss“ es insofern man bequeme Synchronisierung zwischen den Geräten haben möchte.
+9
globalls
globalls07.08.23 20:15
Für mich als 1Password Benutzer stellt sich die Frage, inwieweit ich damit 1PW ersetzen könnte. 1PW meldet sich immer zuverlässig bei neuen Login Ameldungen, nie aber de r Schlüsselbund. Oder braucht man als Otto Normalverbraucher beide?
Muss ich denn alles selber machen?
0
Peter Eckel07.08.23 20:56
HarryEinfachNurHarry
In die Cloud „muss“ es insofern man bequeme Synchronisierung zwischen den Geräten haben möchte.
Nein, das muß nicht in die "Cloud". Die ist ein Weg das hinzubekommen, aber nicht der einzige.

Enpass beispielsweise bekommt das hin, indem ein Rechner im Netz als Synchronisationsserver hergenommen wird und sich die anderen mit diesem synchronisieren. Direkt. Ohne "Cloud".

Auch das ist nicht der einzige Weg, aber ein durchaus bequemer und mindestens ebenso sicherer wie die "Cloud"-Lösung: Auf allen Rechnern ist der Password Store sowieso, nur beim WiFi-Sync entfällt die "Cloud"-Kopie. Weniger Daten sind meines Erachtens immer besser.
Ceterum censeo librum facierum esse delendum.
-1
pstoehr07.08.23 22:15
Peter Eckel
HarryEinfachNurHarry
In die Cloud „muss“ es insofern man bequeme Synchronisierung zwischen den Geräten haben möchte.
Nein, das muß nicht in die "Cloud". Die ist ein Weg das hinzubekommen, aber nicht der einzige.

Enpass beispielsweise bekommt das hin, indem ein Rechner im Netz als Synchronisationsserver hergenommen wird und sich die anderen mit diesem synchronisieren. Direkt. Ohne "Cloud".

Auch das ist nicht der einzige Weg, aber ein durchaus bequemer und mindestens ebenso sicherer wie die "Cloud"-Lösung: Auf allen Rechnern ist der Password Store sowieso, nur beim WiFi-Sync entfällt die "Cloud"-Kopie. Weniger Daten sind meines Erachtens immer besser.
Und wenn die Rechner nicht im selben Netzwerk sind? Was macht Enpass denn dann?
0
HarryEinfachNurHarry07.08.23 22:17
globalls
Für mich als 1Password Benutzer stellt sich die Frage, inwieweit ich damit 1PW ersetzen könnte. 1PW meldet sich immer zuverlässig bei neuen Login Ameldungen, nie aber de r Schlüsselbund. Oder braucht man als Otto Normalverbraucher beide?
Apples eigenes reicht vollkommen und ist neben einfacher auch kostenlos und du gibst deine Daten nicht an eine weitere Firma.
+4
Peter Eckel07.08.23 22:21
pstoehr
Und wenn die Rechner nicht im selben Netzwerk sind? Was macht Enpass denn dann?
Später synchronisieren.

Wie oft änderst Du ein Paßwort an einem Gerät und brauchst es dann sofort an einem anderen, der gerade nicht im gleichen LAN ist? Ich bin auch beruflich ziemlich viel mit mehreren Geräten unterwegs (und synchronisiere nochmal anders, aber mit der gleichen Einschränkung), und mir passierte es bislang genau nie.

Paßwörter nicht in irgendeiner "Cloud" zu haben wäre mir auch die eine oder andere Einschränkung wert. Aber die besagte Einschränkung ist für mich komplett vernachlässigbar.
Ceterum censeo librum facierum esse delendum.
+3
Nebula
Nebula07.08.23 23:45
Bin vor kurzem von 1Password 7 auf EnPass umgestiegen, weil ich einen Manager für alle Browser benötige und 1P nur noch Safari offiziell unterstützt. Hatte lange mit StrongBox geliebäugelt, aber da fehlt ein Safari-Plugin. Die Apple-Schnittstelle ist am Mac schlecht umgesetzt, man kann etwa neue Einträge nicht automatisch speichern lassen, da funkt immer Apples Manager dazwischen, weil man ihn nicht abschalten kann.

EnPass ist unter iOS leider etwas rudimentär, so fehlt etwa eine Sortierung nach Änderungsdatum. Am Mac ist die nichtnative App etwa hakelig und zäh, aber immer noch besser als der ganze Electron-Müll. Vom Komfort her kann EnPass gut bei 1P7 mithalten. Apples Passwörter ist mir zu eingeschränkt. Ich benötige Formulare, um etwa Zugangsdaten für Webserver und Hostingpakete speichern zu können. Das würde auch mit Notizen gehen, ist aber unübersichtlich und nicht komfortabel. Außerdem verwalte ich meine Software-Lizenzen mit einem Passwort-Manager. Dafür haben 1Password oder EnPass passende Vorlagen, die ich nur ausfüllen muss.
»Wir werden alle sterben« – Albert Einstein
+5
Weia
Weia08.08.23 02:02
lautsprecher
Wenn ich einen Wunsch zum Thema Schlüsselbund in Richtung Apple formulieren dürfte, dann würde ich mir eine smarte App wie beispielsweise 1Password oder Enpass wünschen. Wieso das so umständlich und aus meiner Sicht benutzerunfreundlich in der aktuellen Form gestaltet wurde ist mir ein Rätsel.
Was machen 1Password und Enpass denn besser als die Schlüsselbundverwaltung? Ich wüsste jetzt nicht, was an Letzterer umständlich ist.
🦖The dinosaurs invented Jesus to test our confidence in science
+2
FlyingSloth
FlyingSloth08.08.23 03:00
Was 1Password und Enpass besser machen als Apple's Keychain kann ich nicht sagen, da ich keine der beiden Programme verwende. Ich kann nur fuer Bitwarden sprechen und der macht vieles sehr viel besser und sehr viel einfacher als Apples Keychain.
1. in Bitwarden einfacheres Anpassen welche Kriterien ein Password erfuellen muss. (Wieviele Zeiche, Gross und Kleinbuchstaben, Sonderzeichen oder nicht, etc)
2. in Bitwarden einfachere und uebersichtlichere Einteiling der Passworte in verschiedene Themenbereiche. (email, Versicherungen, Banken, Shopping, etc.
3. Kein Selfhosting der Apple Keychain sondern Abhaengikeit von iCloud, wenn mehrere Geraete gesynced werden sollen.
4. Bitwarden Code ist OpenSource und Peer Reviewed. Keychain is Closed.
5. Bitwarden ist nicht Apple gebunden, Keychain funtioniert nur auf Apple Devices
6. Jeder der, mein Apple MacOS Passwort oder iOS Passwort hat, kann automatich meine Keychain einsehen (ausser ich nutze 2FA, was bei der Anzahl an Passwortabfragen pro Tag super unkomfortabel ist). Bitwarden Access (oder 1Password, EnPass) ist vom MacOS Passwort entkoppelt.
Nur um einige zu nennen, aber die Liste Pro Bitwarden laesst sich fortsetzten.
Weia
lautsprecher
Wenn ich einen Wunsch zum Thema Schlüsselbund in Richtung Apple formulieren dürfte, dann würde ich mir eine smarte App wie beispielsweise 1Password oder Enpass wünschen. Wieso das so umständlich und aus meiner Sicht benutzerunfreundlich in der aktuellen Form gestaltet wurde ist mir ein Rätsel.
Was machen 1Password und Enpass denn besser als die Schlüsselbundverwaltung? Ich wüsste jetzt nicht, was an Letzterer umständlich ist.
Fly it like you stole it...
0
schnullibutz
schnullibutz08.08.23 09:08
Der Apple Schlüsselbund ist für mich nicht praktikabel weil ich verschiedene Systeme benutze. Für Apple only User ist das schon eine Option.
Ich benutze Enpass und Keypass. Von 1Password bin ich weg, nur noch online geht für mich garnicht.
+2
marm08.08.23 09:30
Nebula
Hatte lange mit StrongBox geliebäugelt, aber da fehlt ein Safari-Plugin.
Ich benutzte Strongbox/Keepass am Mac und KeePassium auf dem iPhone. Passworteingabe in Safari ist kürzlich komfortabler geworden. Hierfür braucht Strongbox kein Plugin:


Weia
Was machen 1Password und Enpass denn besser als die Schlüsselbundverwaltung? Ich wüsste jetzt nicht, was an Letzterer umständlich ist.
Intern habe ich mehrere Adressen (per Domain und IP) für den gleichen Service (z.B. Router oder Synology). Ich kann im Schlüsselbund die Liste der Websites nicht editieren. Aber Apple warnt mich, dass ich bei mehreren Passworteinträgen das gleiche Passwort benutze 🤪
+2
Peter Eckel08.08.23 09:50
FlyingSloth
... und der macht vieles sehr viel besser und sehr viel einfacher als Apples Keychain.
Das faßt es eigentlich schon perfekt zusammen.

Den Unterschied zwischen der Apple-Keychain und so ziemlich allen mir bekannten Paßwortmanagern ist, daß die Keychain einfach nur Paßwörter speichert und ausschließlich per iCloud zu synchronisieren ist (was für mich schon das K.O.-Kriterium ist). Die Funktionalität von Paßwortmanagern geht weit darüber hinaus.

Ich habe in meinem Paßwortmanager neben Paßwörtern auch Informationen zu diesen Paßwörtern, die weit über das, was die Keychain zu leisten imstande ist, hinausgehen, zum Beispiel 2FA-Codes für TOTP, alternative URLs, die den gleichen Account nutzen, die zu Accounts gehörigen E-Mail-Adressen, da ich pro Account eine andere Adresse nutze, ggf. Recovery Codes, Instanznamen von Datenbanken, die auf dem gleichen Server laufen und so weiter. Das alles kann die Keychain, wenn überhaupt, nur sehr umständlich abbilden.

Weiterhin habe ich dort Softwarelizenzen, diverse Notizen mit Sicherheitsrelevanz, die Listen der grundsätzlich frei (und jedesmal anders) erfundenen Antworten auf sogenannte "Sicherheitsfragen" wie "Mädchenname der Mutter", "Geburtsdatum", "Erster Schulfreund" etc., die, wenn man sie korrekt beantwortet, nur Einladungen zu social Engineering sind und nichts zur Sicherheit beitragen, private Schlüssel zu Zertifikaten, die ich keinesfalls in der Keychain haben will und einiges mehr. Das kann die Keychain alles auch nicht.

Ich nutze mehrere Vaults, von denen nicht immer alle freigeschaltet werden sollen, nur weil ich mich am Rechner eingeloggt habe, sondern die ich nur bei Bedarf öffnen will. Objekte im Paßwortstore sind, z.B. kundenspezifisch, mit Tags versehen, damit ich sie bei Bedarf schnell finden kann und nicht jedesmal suchen muß. Mein Paßwort-Safe sortiert mir die Paßwörter nach Änderungsdatum, was in manchen Fällen, z.B. bei seltsamen Paßwort-Rotationsstrategien, hilft, sie rechtzeitig wieder mal zu ändern. Ich kann Checks gegen haveibeenpwned.com laufen lassen, um durch "Datenreichtum" kompromittierte Paßwörter zu finden. Und noch einiges mehr, das mir gerade nicht einfällt.

Keychain verhält sich zu jedem auch nur halbwegs vernünftigen Paßwortmanager wie ein Gabelschlüssel zu einem Ratschenkasten (um mal die ansonsten allfälligen Autovergleiche zu vermeiden ). Funktioniert, aber ist extrem eingeschränkt.
Ceterum censeo librum facierum esse delendum.
+4
lautsprecher08.08.23 09:52
Weia

Was machen 1Password und Enpass denn besser als die Schlüsselbundverwaltung? Ich wüsste jetzt nicht, was an Letzterer umständlich ist.
ok, hier ein paar Punkte, die ich bei den externen Tools besser finde:

* ich muss nicht nochmals ein Passwort eingeben, wenn ich den Text in einer sicheren Notiz sehen will
* mir werden mehrere Kategorien angeboten, in denen ich meine Passwörter/Seriennummern etc sortieren kann. Kann man im Schlüsselbund mit mehreren Schlüsselbunden lösen, ist aber IMHO umständlicher
* je nach Rubrik werden mir zur Eingabe unterschiedliche Templates angeboten. So sieht die Eingabe eines Lizenzschlüssels anders aus als zB die Daten meiner Bankverbindung etc.
* Ich kann Tags vergeben
* ich habe mehrere Prüfkriterien, die automatisch geprüft werden (verwenden identischer PW, Alter der PW etc)

* der Abruf von Passwörtern über SafariEinstellungen Passwörter ist für mich absolut unlogisch
* das ganze Look&Feel der Schlüsselbundverwaltung ist aus meiner Sicht von vorgestern (ist natürlich Geschmacksache)
+4
pstoehr08.08.23 11:39
Peter Eckel
pstoehr
Und wenn die Rechner nicht im selben Netzwerk sind? Was macht Enpass denn dann?
Später synchronisieren.

Wie oft änderst Du ein Paßwort an einem Gerät und brauchst es dann sofort an einem anderen, der gerade nicht im gleichen LAN ist? Ich bin auch beruflich ziemlich viel mit mehreren Geräten unterwegs (und synchronisiere nochmal anders, aber mit der gleichen Einschränkung), und mir passierte es bislang genau nie.

Paßwörter nicht in irgendeiner "Cloud" zu haben wäre mir auch die eine oder andere Einschränkung wert. Aber die besagte Einschränkung ist für mich komplett vernachlässigbar.
Das ist bei mir der Standardfall.
Ich arbeite ab zwei Standorten und hab da jeweils einen eigenen stationären Rechner. Diese beiden Rechner sind also nie im gleichen Netzwerk …
Und was wäre wenn ich die Daten dann auf meinem iPad brauche? Muss ich dann selber die Synchronisation anstoßen bevor ich einen der Standorte verlasse?

Da funktioniert der Apple-Schlüsselbund aber einfacher in meinem Fall!
+3
Peter Eckel08.08.23 12:28
pstoehr
Das ist bei mir der Standardfall.
Ich arbeite ab zwei Standorten und hab da jeweils einen eigenen stationären Rechner. Diese beiden Rechner sind also nie im gleichen Netzwerk …
Korrekt, genau dann funktioniert der WLAN-Sync nicht.

In dem Fall hilft dann ein lokaler Synchronisationsserver (genau sowas habe ich) an einem der Standorte, bei Deiner Anforderung noch zusätzlich ein VPN, das ich zumindest für Deinen Anwendungsfall ohnehin auch für andere Zwecke brauchte.

Es gibt immer Lösungen ohne "Cloud". Ob die den Aufwand wert sind, muß natürlich jeder individuell entscheiden, ich wehre mich aber gegen Sätze wie "Das muß in die Cloud". Besonders im Zusammenhang mit sensiblen Daten.
Ceterum censeo librum facierum esse delendum.
+3
frankh08.08.23 14:07
Mich würde interessieren, ob/wie man eine keychain ohne iCloud auf einen anderen Mac übertragen kann. Früher konnte man einfach eine keychain mit pw sichern, kopieren und importieren.
+1
Nebula
Nebula08.08.23 19:18
marm
Ich benutzte Strongbox/Keepass am Mac und KeePassium auf dem iPhone. Passworteingabe in Safari ist kürzlich komfortabler geworden. Hierfür braucht Strongbox kein Plugin:

Es ging mir tatsächlich um ein Plug-in, weil die Plug-in-freie AutoFill-Integration am Mac noch nicht zulässt, dass ich neu ausgefüllte Formular automatisch in StrongBox speichern kann. Apple müsste nur zulassen, dass man den eigenen Passwortmanager ausschalten kann, ohne dass man gleich Autofill ganz abdrehen muss. Unter iOS geht das. Dennoch ist das Feature unter macOS nicht nach meinem Geschmack. Ich möchte Formulare per Kürzel ausfüllen und nicht automatisch eine Liste angezeigt bekommen. Die überdeckt manchmal wichtige Sachen oder kapert die Cursor-Tasten.

Unter Sonoma kann ich zwar irgendwie Apples Passwörter abwählen, aber bislang fragt dennoch Apples Verwaltung, ob ich neue Zugangsdaten speichern möchte.
Weia
Was machen 1Password und Enpass denn besser als die Schlüsselbundverwaltung? Ich wüsste jetzt nicht, was an Letzterer umständlich ist.

Aspekte, die für mich für Enpass sprechen:
- Sync per WLAN ohne, dass ein Server involviert ist.
- Diverse Vorlagen für Kreditkarten, Lizenzen und so.
- Eigenständige App, die man zum Nachschlagen per Kürzel ein/ausblenden kann.
- Man kann beliebige Felder und Zwischenüberschriften anlegen.

Das mit den Vorlagen sieht bspw. so aus:
»Wir werden alle sterben« – Albert Einstein
+3

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.