Situatie Macbook Pro 2012, OS = Catalina

Er staat een paswoord op de macbook die je moet ingeven als ik de macbook open onder mijn user of als ie even niet gebruikt is, dat is zoals gewenst.

Echter, ditzelfde wachtwoord geeft ook toegang tot mijn "wachtwoorden" als je via voorkeuren in Safari naar je wachtwoorden gaat en dit tweede wachtwoord (uitsluitend voor toegang wachtwoorden ) zou ik graag veranderen voor extra veiligheid en ook voor als er iets aan de macbook moet hersteld worden zoals onlangs het geval was.

Mijn vraag is dus dubbel, kan ik enkel dit tweede wachtwoord veranderen of is dit steeds één wachtwoord voor beide functies en indien ik het wachtwoord voor de wachtwoorden toch kan wijzigen, hoe moet dit juist ?

Alvast bedankt voor de moeite. 

Met vriendelijke groeten.

Wendy 

Het kan wel, maar maakt het gebruik ervan niet makkelijker.

https://support.apple.com/nl-nl/guide/keychain-access/kyca2429/mac

Als een herstel-bedrijf in moet loggen (je kunt je afvragen of dat nodig is, maar hangt misschien af van de soort storing...), dan kun je ook voor dat doel een tijdelijk account maken. Op die manier hoeft het herstelbedrijf niet in te loggen op je eigen account.

Als een herstel-bedrijf in moet loggen (je kunt je afvragen of dat nodig is, maar hangt misschien af van de soort storing...), dan kun je ook voor dat doel een tijdelijk account maken. Op die manier hoeft het herstelbedrijf niet in te loggen op je eigen account.

Als de macbook volledig is vastgelopen en niet meer opstart zoals ik voorhad is een tijdelijke account maken natuurlijk geen optie, daarom wou ik enerzijds zien om zoiets in de toekomst dus niet meer voor te hebben en anderzijds is het een goede extra beveiliging.

Maar uit bovenstaande post te lezen is het een hele sinecure en ik wil niet riskeren om al mijn wachtwoorden kwijt te spelen ...

Een wijze beslissing Wendy.

Als de macbook volledig is vastgelopen en niet meer opstart zoals ik voorhad is een tijdelijke account maken natuurlijk geen optie...

Je zou daarvoor standaard een aparte, verder niet gebruikte, account op de Mac kunnen zetten. Zodat je ook in het geval wat jij voor had, een account hebt waar een reparateur op kan inloggen.

Moet wel een beheerders account zijn, want een reparateur moet bij de instellingen kunnen komen. Dat betekent wel dat het ook niet 100% veilig is, maar altijd beter dan ingelogd in je eigen account.

Terzijde: grappig, ik dacht dat 'paswoord' een niet bestaand woord was. Het is het Engelse 'password' of het Nederlandse 'wachtwoord'. Maar blijkbaar is 'paswoord' een Belgische (Vlaamse) leenvertaling uit het Engels.

Net een nieuwe Mac helemaal opnieuw ingericht en door dit draadje realiseerde ik me dat daarop nog geen tweede account aangemaakt had.

Dat doe ik altijd, precies om de redenen die hierboven al voorbij kwamen, en dus nu weer gedaan!

Power users zouden nog kunnen overwegen om naast een beheerders account een root gebruiker (wachtwoord) aan te maken. Dan zijn er ook twee gebruikers.

Huh? Ik zou zeggen power users (maar eigenlijk alle users...) zouden naast een beheerders-account altijd een normaal standaard-account moeten maken en die altijd gebruiken.

Er is op een Mac geen (goede) reden om altijd onder een beheer-account te werken...

...naast een beheerders account een root gebruiker (wachtwoord) aan te maken.

Die snap ik niet; je kunt toch geen rootgebruiker aanmaken? Je kunt een gebruiker geen root-rechten geven. Wel kun je 'de rootgebruiker' aan- en weer uitzetten.

...zouden naast een beheerders-account altijd een normaal standaard-account moeten maken en die altijd gebruiken. Er is op een Mac geen (goede) reden om altijd onder een beheer-account te werken...

Ik zou niet weten waarom je zelf, als hoofdgebruiker van je eigen Mac, niet standaard in een beheerdersaccount zou werken.

je kunt toch geen rootgebruiker aanmaken? Je kunt een gebruiker geen root-rechten geven. Wel kun je 'de rootgebruiker' aan- en weer uitzetten.

Klopt, maar als je de root gebruiker aan laat staan, kan je ook inloggen als 'root'. Feitelijk heb je dan ook twee mogelijkheden.

Maar is misschien een te grote 'zijsprong'...

Ik zou niet weten waarom je zelf, als hoofdgebruiker van je eigen Mac, niet standaard in een beheerdersaccount zou werken.

Vanuit security-overweging is het logisch en vrij standaard om met zo min mogelijk rechten te werken.
Als je altijd al beheerder werkt dan heeft eventuele malware die je zelf activeert (door bezoeken foute website of downloaden van vage software) minder rechten en kan dus hooguit jouw account om zeep helpen ipv je hele computer.

Anders gezegd: Je moet alleen je beheerdersrechten gebruiken als je beheertaken doet. Als je met een standaard-account werkt dan heb je altijd even een reminder dat je een beheer-taak gaat doen en kun je dat niet per ongeluk / gedachteloos etc doen.

Dat is toch een beetje een misverstand, meen ik.

Als er software geïnstalleerd moet worden, moet je een beheerders toestemming geven.
Als je zelf beheerder bent, is dat met jouw account, waar je naam al in het toestemmingsvenster staat, en anders moet je de gebruikersnaam van een beheerder invullen. In beide gevallen vul je dan het bijbehorende ww in, en het programma wordt geïnstalleerd. Er is dan verder geen verschil in hoe die software geïnstalleerd wordt. Daarom is de opmerking "kan dus hooguit jouw account om zeep helpen" ook niet correct.
Dus waar doe extra veiligheid in zou zitten; ik zie het niet.

Mijn inziens is het werken in een 'standaard' account alleen zinnig als jij iemand anders op je Mac laat werken, bv je kind of een vriend of zo. Als deze in de standaard account werkt, én geen kennis heeft van de inlog gegevens van de beheerder, dan is het in die situatie veiliger te noemen.

Maar voor jezelf, als eigenaar van je Mac, is er m.i. geen toegevoegde waarde, en geeft het hoogstens een vals gevoel van veiligheid.


@nnsa: bedankt voor de verduidelijking.

Zoals ik schreef is het een ontwerp-principe of "best-practice" vanuit security, ook wel bekend als "Principle of Least Privilege". Dat is geen misverstand, maar dat is al vele jaren zo op alle platformen, er is geen reden waarom een Mac daar anders in zou zijn.

Er zijn maar weinig situaties waar je op macOS met een standaard-account niet uit de voeten kunt, zoals je al aangeeft ondersteunt macOS op een gebruikersvriendelijke manier het tijdelijk verhogen van de privileges, bijvoorbeeld bij het installeren van software of het aanpassen van systeem-instellingen.

Lees (bijvoorbeeld): https://en.wikipedia.org/wiki/Principle_of_least_privilege

Dat is inderdaad de theorie, Jaco. En het zal vast voor bepaalde OS-en dan ook (gedeeltelijk) gelden, maar nogmaals, voor macOS zie ik de meerwaarde niet zo. Kan best dat ik iets over het hoofd zie, maar onderwijs me dan.
De theorie gaat wel op als je altijd in de root-gebruiker zou willen werken.

Punt is dat in MacOS het enige verschil tussen werken in een Standaard gebruiker versus werken in een Beheerders account, is dat als je een beheerderstaak uitvoert in de Standaard, je de gebruikersnaam van een beheerder moet ingeven in het toestemmingsformulier-dialoog venster. Voor beiden moet je dan het ww intypen.
Die extra bescherming zou dan moeten komen uit de extra handeling en tijd die het kost om de gebr. naam in te typen; dat geeft je bedenktijd of het wel verstandig is. Nou, als je dat 'extra veilig' wilt noemen.

Bovendien: als je in zelf, als beheerder van je Mac in een Standaard account werkt, en je hebt in de Beheerder account de Touch ID ingesteld, is deze al voldoende om toestemming te geven.

En jouw stelling "dus hooguit jouw account om zeep helpen ipv je hele computer" is gewoon niet correct. Of je kunt geen software installeren omdat je geen beheerder inlog hebt, of je kunt het wel dan installeer je het als beheerder.

Ook bestandsbeheer, bv het weggooien van bestanden van andere gebruikers werkt op deze manier. Het verschil tussen Standaard en Beheerder hierin is heel klein.

Alleen als de Standaard geen beheerdersrechten heeft, dus geen inloggegevens van een Beheerder, is er een fors verschil in veiligheidsniveau. Maar dat is juist de crux; jij als eigenaar van je Mac hebt altijd ook beheerdersrechten. En dan is het dus onzinnig om in een Standaard account te werken, omdat jezelf niet vertrouwt...

Nu ik er zo eens over nadenk heb ik me nooit gerealiseerd hoe klein de verschillen in de GUI zijn tussen standaard en beheerder. Komt waarschijnlijk omdat ik al sinds 2001 (Mac OSX 10.0, of kwam fast-user-switching pas vanaf 10.1?) mijn computers indeel in 1 beheerders-account en 2-4 Standaard-accounts.
Beheerder-account gebruik ik eigenlijk alleen voor software-installatie en systeem-upgrades.

Om applicaties die simpelweg als applicatie op een DMG staan te installeren heb je geen beheerdersrechten nodig (kun je gewoon naar je eigen Applicaties-map slepen). Alleen applicaties met een installer hebben beheerdersrechten nodig.

Naast de user-interface aspecten gaat het ook om rechten. Een beheerders-account heeft meer rechten, met name in de systeem-mappen en instellingen. Die verschillen zijn misschien de laatste jaren wel kleiner geworden, omdat Apple op macOS de rechten steeds verder dichttimmert en afschermt.
Die rechten zal de gemiddelde gebruiker niet interesseren, maar worden interessant op het moment dat je malware activeert. De reikwijdte van malware onder een beheerdersaccount is verder dan onder een standaard-account.

Andere kant van het verhaal is dat je tegenwoordig als Standaard-gebruiker óók App-store updates kunt uitvoeren van apps die dan toch weer in de systeem-brede mappen terecht komen, zonder dat je daar een beheerders-wachtwoord voor in hoeft te voeren. Vind ik vanuit gebruikers-oogpunt heel begrijpelijk, maar qua security-concept snap ik er niets van. Het betekent kennelijk dat er een mechanisme is om bestanden waar je als gebruiker normaal geen rechten voor hebt om te verwijderen, wél kunt updaten?

Verder is vaak genoeg gebleken dat mensen tegen zichzelf beschermd moeten worden, dus wat mij betreft zou ik iedereen willen aanraden om altijd onder een Standaard-account te werken.