Macs mit T2-Chip betroffen: Passwörter lassen sich knacken
Das Passwort eines Macs kann unter bestimmten Umständen geknackt werden. Möglich ist das unter Ausnutzung einer Schwachstelle im T2-Chip, dieser steckt in Intel-Macs ab Baujahr 2018. Die Prozedur ist noch immer langwierig, doch eine reelle Gefahr für die Verschlüsselung der Computer.
Der Mac gilt als vergleichsweise sicher – im verschlüsselten Zustand. Verschiedene Mechanismen sorgen für dieses hohe Schutzniveau. Da wäre etwa einerseits die Festplattenverschlüsselung, die zu aktivieren dringend zu empfehlen ist. Die Zugangsdaten, also Passwort und der dazugehörende Fingerabdruck, werden bei älteren Macs mit Intel-Architektur im sicheren Bereich des T-Chips abgelegt. Genau hier steckt eine Schwachstelle, die Sicherheitsspezialisten offenbar begonnen haben, auszunutzen.
Der T2-Chip, der seit 2018 in Macs und MacBooks zum Einsatz kommt, verfügt über eine Kryptofunktion und sorgt für die SSD-Verschlüsselung. Zugleich ist er per Signaturprüfung an das System gekoppelt, was bedeutet, auch wenn er ausgebaut wird, sollte es unmöglich sein, die in ihm gespeicherten Logindaten abzufragen. Die Kopplung erfolgt mittels der sogenannten Exclusive Chip Identification, sie bindet den T2-Chip an den Mac, in dem er eingebaut ist, wie auch an die installierte Version von macOS.
Passwörter können ermittelt werden
Die Passwörter für die gespeicherten Benutzer ist nicht auf der SSD, sondern im T2-Chip gespeichert und der lässt nur eine bestimmte Anzahl an Versuchen, es richtig anzugeben, zu, eine Wörterbuchattacke scheidet so aus. Den Schlüssel selbst zu erraten, ist aus Gründen der verfügbaren Performance in der Regel unmöglich. Die Sicherheitsfirma Passware hat aber einen Weg gefunden, die Verhinderung beliebig vieler Versuche zu verhindern. Das Verfahren ist langsam: Nur rund 15 Passwörter pro Sekunde lassen sich so ausprobieren, doch die Seite 9to5Mac merkt an, dass Passware inzwischen ein Tool anbietet, das genau dies übernimmt.
Es ist mit zwei Datenbanken gefüttert, eine enthält rund eine halbe Million der am häufigsten genutzten Passwörter, eine weitere umfasst Milliarden an Passwörtern. Leider neigen Menschen aber zu simplen Passwörtern, die zudem inzwischen in Listen besonders populärer Kombinationen zusammengefasst sind, die sich problemlos nach den vielversprechendsten Kriterien ordnen lassen. So kann ein durchschnittlich komplexes Passwort innerhalb von Stunden oder bestenfalls Tagen erraten werden.
Wirklich Sorgen machen muss sich der Durchschnittsnutzer deswegen wohl nicht: Das Tool verkauft Passware nur an staatliche Kunden oder Unternehmen mit einer Begründung, die gut genug ist – ergo wohl einer Brieftasche, die tief genug ist, aber so oder so muss man sich schon ziemlich einflussreiche oder vermögende Feinde gemacht haben, um Opfer eines solchen Angriffs zu werden.
-----
Willst du keine News mehr verpassen? Dann folge uns auf Twitter oder werde Fan auf Facebook. Du kannst natürlich in Ergänzung unsere iPhone und iPad-App mit Push-Benachrichtigungen hier kostenlos laden.