Challenge: iCloud-Schlüsselbund im Klartext exportieren.

[DgaDM]

Hallo liebes Forum!

Ja ich weiß, es klingt vielleicht nach einer dummen Idee, aber dennoch. Ich habe mich in den letzten Jahren ziemlich "blind" auf den iCloud-Schlüsselbund verlassen. Aber wenn mal irgendwann irgendwas mit der iCloud ist, oder ich mich — wie auch immer — aus meinem Apple-Account ausgesperrt haben sollte, bin ich ziemlich aufgeschmissen.

Deshalb meine Frage: Kann ich da irgendwo einen Export im Klartext ziehen, den ich ausdrucken oder auf einem USB-Stick "offline" speichern kann?
Oder schafft ihr es, mich nachhaltig zu beruhigen? xD

André

 

[Hendrik Ruoff]

Nein natürlich geht das nicht

 

[DgaDM]

Nein natürlich geht das nicht

So "natürlich" finde ich das nicht 😅

Welche Vorkehrungen habt ihr in dieser Hinsicht getroffen?

André

 

[butterhuhnd]

Du solltest so gut wie jedes PW mit deiner Email-Adresse zurücksetzen können (zumindest ist es bei mir so und das ist mir auch wichtig). In diesem Fall brauchst du eigentlich nur dein Email-PW offline irgendwo zugänglich haben, dann wird es im Zweifel nervig, aber nicht unmöglich alles zu resetten.

 

[YoshuaThree]

So "natürlich" finde ich das nicht

Welche Vorkehrungen habt ihr in dieser Hinsicht getroffen?

André

Doch ich finde das aus Sicherheitsgründen ziemlich „natürlich“. Was Du tun kannst - ein Backup ist kein Backup - sichere das Ganze eben halt.

Wenn ich ein Backup meiner Daten mache gilt auch immer zwei Orte zwei verschiedene Systeme. Bei mir ist das TimMachine auf externe HDD und Synology Drive auf mein Synology NAS.

Und wenn Dir die Daten eben so extrem wichtig sind - dann machst eben zwei Sicherungen Deiner Zugänge & Passwörter an zwei Orten.

 

[dtp]

Ich habe alle meine Passwörter in der App iPIN gesichert. Die gibt's u.a. auch als Windows-App, so dass ich die Passwörter damit per WLAN syncen kann.

Safari kann iPIN neben dem Schlüsselbund direkt aufrufen und dann daraus das entsprechende Passwort ziehen. Finde ich recht praktisch.

Aber natürlich muss man in iPIN erst mal jedes einzelne Passwort hinterlegen. Ein Transfer vom Schlüsselbund zu iPIN ist meines Wissens nach nicht möglich.

 

[Scotch]

Aber wenn mal irgendwann irgendwas mit der iCloud ist, oder ich mich — wie auch immer — aus meinem Apple-Account ausgesperrt haben sollte, bin ich ziemlich aufgeschmissen.

So ist das.

Welche Vorkehrungen habt ihr in dieser Hinsicht getroffen?

Ist ganz einfach: Solche Funktionen nutzt man nicht. Nicht mal, wenn sie von Apple kommen.

Du solltest so gut wie jedes PW mit deiner Email-Adresse zurücksetzen können (...)

Das ist nicht das eigentliche Problem: Was, wenn Apple die Funktion einfach abschaltet oder abschalten muss? Oder die Daten absichtlich/freiwillig/durch einen Fehler/... in die falschen Hände gibt? Spätestens nach vier Jahren Trump und dem, was aktuell in den USA passiert ist das ja nun kein theoretisches Szenario mehr, sondern garantiert Teil eines Cyber Warfare Szenarios.

Was Du tun kannst - ein Backup ist kein Backup - sichere das Ganze eben halt.

Das man im beschriebenen Fall dann allerdings komplett offline einspielen können muss. Sonst stellst du die Schlüssel wieder her und Apple sperrt über's Netz ab. "Machen die schon nicht"? Siehe oben.

Die gibt's u.a. auch als Windows-App, so dass ich die Passwörter damit per WLAN syncen kann.

Und da ist die Sollbruchstelle, siehe oben.

 

[butterhuhnd]

So ist das.



Ist ganz einfach: Solche Funktionen nutzt man nicht. Nicht mal, wenn sie von Apple kommen.



Das ist nicht das eigentliche Problem: Was, wenn Apple die Funktion einfach abschaltet oder abschalten muss? Oder die Daten absichtlich/freiwillig/durch einen Fehler/... in die falschen Hände gibt? Spätestens nach vier Jahren Trump und dem, was aktuell in den USA passiert ist das ja nun kein theoretisches Szenario mehr, sondern garantiert Teil eines Cyber Warfare Szenarios.



Das man im beschriebenen Fall dann allerdings komplett offline einspielen können muss. Sonst stellst du die Schlüssel wieder her und Apple sperrt über's Netz ab. "Machen die schon nicht"? Siehe oben.



Und da ist die Sollbruchstelle, siehe oben.

Stimmt, aber im Fall eines Cyberkriegs haben wir glaube ich andere Probleme als die Passwörter von Facebook und co...

 

[AndaleR]

@Scotch Und wie verwaltest Du dann Deine Passwörter? Der Beitrag hört sich sehr nach Schlüsselbund-Gegner an.

 

[DgaDM]

Doch ich finde das aus Sicherheitsgründen ziemlich „natürlich“. Was Du tun kannst - ein Backup ist kein Backup - sichere das Ganze eben halt.

Wenn ich ein Backup meiner Daten mache gilt auch immer zwei Orte zwei verschiedene Systeme. Bei mir ist das TimMachine auf externe HDD und Synology Drive auf mein Synology NAS.

Guter Punkt, das bringt mich gleich auf die nächste Frage. Anscheinend legt der Schlüsselbund ja doch eine lokale Kopie/Cache an, zumindest wenn ich die Oberfläche richtig deute. Und ich muß ja auch mein Account-PW (was ein anderes ist als das iCloud-PW) eingeben, um an einzelne Klartexte zu kommen.

Also die nächste Frage wäre: Kann man denn tatsächlich davon ausgehen, daß sich ein TM-Backup komplett offline wiederherstellen lässt, inklusive "Schlüsselbund-Cache"? Wenn ja, dann wäre das ja einigermaßen "Safe". Ich habe tatsächlich zwei Backups, eines auf einer Platte im Rechner, eines auf einer per USB angeschlossenen Platte die für gewöhnlich bei meinem Bruder lagert und die er alle paar Wochen mal vorbei bringt zum Auffrischen des Backups. (Quasi das Off-Site-Backup), für dieses habe ich auch die Verschlüsselung aktiviert.

André

 

[YoshuaThree]

Guter Punkt, das bringt mich gleich auf die nächste Frage. Anscheinend legt der Schlüsselbund ja doch eine lokale Kopie/Cache an, zumindest wenn ich die Oberfläche richtig deute. Und ich muß ja auch mein Account-PW (was ein anderes ist als das iCloud-PW) eingeben, um an einzelne Klartexte zu kommen.

Also die nächste Frage wäre: Kann man denn tatsächlich davon ausgehen, daß sich ein TM-Backup komplett offline wiederherstellen lässt, inklusive "Schlüsselbund-Cache"? Wenn ja, dann wäre das ja einigermaßen "Safe". Ich habe tatsächlich zwei Backups, eines auf einer Platte im Rechner, eines auf einer per USB angeschlossenen Platte die für gewöhnlich bei meinem Bruder lagert und die er alle paar Wochen mal vorbei bringt zum Auffrischen des Backups. (Quasi das Off-Site-Backup), für dieses habe ich auch die Verschlüsselung aktiviert.

André

Das bringt Dir nichts - weil die Daten verschlüsselt sind und wenn Apple von heute auf morgen das ganze abschalten sollte -mit was willst Du das lesen?

Ich habe meine Zugangsdaten nicht nur im Schlüsselbund.

Oder sagen wir anders. Verabschiede Dich lieber vom Schlüsselbund als „Hauptspeicher“.

Ich habe schon genügend Kunden gehabt die ihre Schlüsselbund Daten - zum Beispiel bei einem macOS Update - nicht wieder herstellen konnten. Ich glaub vor Jahren hat Apple da mal umgestellt - so dass ein ganz alter Schlüsselbund nicht mehr 1:1 mit dem aktuellen geht.

Und dann wäre noch der Systemwechsel. Was wenn Du mal auf Linux, Windows oder sonst wohin wechselst?! Da ist nix mit Export und Import.


Nimm Dir einen Passwortmanager - von mir aus auch einen für lokale Speicherung. Wichtig wäre einer mit Multiplattform wir Enpass, 1Password etc.... zudem kann man bei den seriösen Manager auch verschlüsselte Backups machen und später auch einen echten Export (CSV, Excel etc.).

Und den Schlüsselbund - den nehme ich für Dinge wie meine WLAN Passwörter, Systemkennwörter und Safari Seiten - aber alle die Zugänge sind bei mir auch in Enpass gespeichert.

Wer sich da alleine auf Apples Schlüsselbund verlässt - ist verlassen. Habe ich schon bei genügend Kunden erlebt.

 

[AndaleR]

Wer sich da alleine auf Apples Schlüsselbund verlässt - ist verlassen. Habe ich schon bei genügend Kunden erlebt.

Also, bis jetzt habe ich mich komplett auf den Schlüsselbund verlassen - weil er bis jetzt immer funktioniert hat u. „eben einfach da ist“...

 

[YoshuaThree]

Also, bis jetzt habe ich mich komplett auf den Schlüsselbund verlassen - weil er bis jetzt immer funktioniert hat u. „eben einfach da ist“...

Ja Besitzer von Rechner haben sich auch immer wieder auf die interne Platte verlassen - weil sie bis dahin immer funktionierte und immer einfach da war.... und das ist Deine Begründung ...?

Du hast doch gar kein backup. Die Daten lieben auf Apples Cloud. Wer garantiert Dir, dass nicht auf Apples Server mal ein Problem auf tritt und Du am Ende ohne da stehst? Oder Dein Schlüsselbund wird "korrupt" - die korrupten Daten synchronisieren sich mit der Cloud und was bleibt dann noch übrig?

Dann kommen Threads wie "ja ich weiß ich hätte ein Backup haben sollen - aber Leute das will ich jetzt echt nicht hören - bitte ich brauche meine Daten ganz dringend pls pls pls die sind ganz wichtig!"....

Haben wir hier alle paar Wochen


Schau zu, dass Du die Daten in einem offenen Programm sicherst und zieh Dir Backups - wenn Dir die Daten wichtig sind. Wenn nicht - lass es so wie es bisher war...

 

[AndaleR]

Wo werden die Passwörter von 1password o.ä. gespeichert? Die bieten ja auch Cloud-Synchronisation an.

Ich mache meine Backups regelmäßig, keine Angst - lokal, online u. extern (für die wichtigsten Sachen). Nur habe ich mir noch keine Gedanken über den Schlüsselbund o.ä. gemacht, weil: ich i.d.R. jedes Passwort auch wieder mit E-Mail-Adresse erneuern kann. Zumindest habe ich mich noch nie irgendwo ausgesperrt und kam nicht mehr rein.

Aber ich weiß jetzt nicht, ob wir hier dann langsam in's OT abdriften...

 

[YoshuaThree]

Wo werden die Passwörter von 1password o.ä. gespeichert? Die bieten ja auch Cloud-Synchronisation an.

Ich mache meine Backups regelmäßig, keine Angst - lokal, online u. extern (für die wichtigsten Sachen). Nur habe ich mir noch keine Gedanken über den Schlüsselbund o.ä. gemacht, weil: ich i.d.R. jedes Passwort auch wieder mit E-Mail-Adresse erneuern kann. Zumindest habe ich mich noch nie irgendwo ausgesperrt und kam nicht mehr rein.

Aber ich weiß jetzt nicht, ob wir hier dann langsam in's OT abdriften...

Ja ist eben eine Frage - wie immer - was ein Verlust Dir bedeuten würde. Das musst alleine Du entscheiden. Wenn es nicht so schlimm ist - musst auch nichts unternehmen.

Wo die das speichern? Na da wo Du willst. Lokal, iCloud, OneDrive, DropBox, eigenes NAS... und so weiter.

 

[AndaleR]

Wenn ich es lokal speichere, dann hab ich es ja nur auf einem Gerät - außer ich speichere in allen Geräten dann lokal. Und habe so keinen Vorteil für einen Passwortmanager.

Speichere ich es in iCloud, OneDrive, etc. - bin ich davon genau so abhängig wie von Apple mit dem Schlüsselbund jetzt. Oder verstehe ich Dich falsch?

 

[YoshuaThree]

Wenn ich es lokal speichere, dann hab ich es ja nur auf einem Gerät - außer ich speichere in allen Geräten dann lokal. Und habe so keinen Vorteil für einen Passwortmanager.

Du kannst es auch lokal auf einem NAS speichern - für alle anderen Geräte...

Speichere ich es in iCloud, OneDrive, etc. - bin ich davon genau so abhängig wie von Apple mit dem Schlüsselbund jetzt. Oder verstehe ich Dich falsch?

Ähm .. nein ^^

Kannst Du Apples Schlüsselbund auch auf Android verwenden? Unter Windows? Nein. Der Schlüsselbund von Apple wird unter Apples iCloud gespeichert - und auch nur dort - und steht ausschließlich für Apple Geräte zur Verfügung.

1Password, Engpass und Co speichern die Daten (verschlüsselt) auf einem Cloud Dienst Deiner Wahl. Du kommst an die Datenbankdatei mit Android, iOS, macOS, Windows etc. ran - weil es für jedes OS eine Anwendung gibt - welche darauf zugreifen kann. Zudem ist die Datenbankdatei - egal ob Lokal oder bei einem Cloud Dienst abgelegt - EINE Datenbankdatei. Die kannst Du wiederum erneut irgendwo Dir als Backup speichern. Auf ner Festplatte, auf nem USB Stick... kannst mit Apples Schlüsselbund nicht.

Und bei 1Password, Engpass und Co kannst Du einen Export machen. Als Textdatei, als CSV, als Excel Datei.... kannst Du mit Apples Schlüsselbund nicht.

Das sind einige Unterschiede.

Sichere doch mal auf einen USB Stick oder Festplatte den ganzen Schlüsselbund - oh geht nicht.
Dann exportiere doch mal Deinen Schlüsselbund als Excel oder CSV... oh geht nicht.
Wechsel mal in 1-2 Jahren nach Windows und nutze den Schlüsselbund - oh geht nicht.

 

[AndaleR]

Ich hab mir Deine Worte mal durch den Kopf gehen lassen und mir mal 1password geholt zum testen.

 

[DgaDM]

Aber ich weiß jetzt nicht, ob wir hier dann langsam in's OT abdriften...

Nein, für mich (als Thread-Ersteller) ist das OK, hier sind schon viele gute Gedanken zusammen gekommen, das hatte ich gehofft.
Das Argument mit dem "notfalls kann man alles per Mail zurücksetzen" ist ja schon mal nicht verkehrt. Ich bin in der glücklichen Lage, daß ich schon sehr früh (1999 um genau zu sein) meine eigene Domain registriert habe und seitdem auch immer durchgängig dieselbe Mail-Adresse. Von daher, nicht die schlechtesten Voraussetzungen.

Wahrscheinlich muß ich mich wirklich mal hinsetzen, und gezielt die wichtigsten einzeln raus kopieren und dann eben mit gebotener Sicherheit ablegen.

Übrigens … es muß nicht unbedingt ein Risiko sein, eine Klartext-Liste irgendwo zu haben. Bei uns in der Firma bin ich offiziell der "Informationssicherheitsbeauftragte" (ja, das gibt es wirklich) und habe in den letzten Jahren federführend unser ISMS implementiert und vom TÜV auch abnehmen lassen (DIN 27001, falls das irgendwem was sagt). Teil unseres Notfallkonzepts ist auch eine Liste mit wichtigsten Accounts oder "Notfallusern" für externe Dienste wie O365, Google Cloud, SAP und so weiter. Das liegt in den Serverräumen wo natürlich niemand dran kommt.

André

 

[Scotch]

Und wie verwaltest Du dann Deine Passwörter? Der Beitrag hört sich sehr nach Schlüsselbund-Gegner an.

Mit einem Passwort Manager, der exportieren kann - damit habe ich immer noch eine Papierkopie, sollte mir da der Zugang irgendwie verloren gehen.

Ein Tool wie den iCloud-Schlüsselbund, der ja noch weitaus mehr Autorisierungen als nur Passwörter für Webseiten und email-Konten synchronisiert benutze ich aus den oben beschriebenen Gründen grundsätzlich nicht, bzw. vermeide die Funktionen soweit wie für mich möglich. In keinem Fall zentralisiere ich aber all diese Funktionen. Mein Passwortmanager enthält z.B. keinerlei Zugangsdaten zu meinen Microsoft-, Apple- und Google-IDs.

Kann man denn tatsächlich davon ausgehen, daß sich ein TM-Backup komplett offline wiederherstellen lässt, inklusive "Schlüsselbund-Cache"?

Ja.

Wenn ja, dann wäre das ja einigermaßen "Safe"

So lange das System wirklich offline bleibt: Ja.

Das bringt Dir nichts - weil die Daten verschlüsselt sind und wenn Apple von heute auf morgen das ganze abschalten sollte -mit was willst Du das lesen?

Wie soll denn Apple den Zugriff auf seine offline-Dateien verhindern?

Also, bis jetzt habe ich mich komplett auf den Schlüsselbund verlassen - weil er bis jetzt immer funktioniert hat u. „eben einfach da ist“...

Mache ich auch mit meinem Passwortmanager, aber wie gesagt: Mit Papier-Backup. Wir sollten aber hier jetzt mal sauber zwischen einem Passwort-Manager und dem iCloud-Schlüsselbund trennen! Letzteres macht weitaus mehr, als nur ein paar Passwörter für Webseiten zu verwalten, siehe oben. Da liegen auch alle Schlüssel/Zertifikate für Netzwerkzugriffe, Webseiten, ggf. deine Banking-App, lokale Verschlüsselungsdienste usw.