Möchtet ihr in macOS über das Terminal einen Befehl starten, für den Admin-Rechte erforderlich sind, kommt dazu das sudo-Kommando zum Einsatz. Beim ersten Aufruf wird standardmäßig immer das Account-Passwort abgefragt. Bei MacBooks mit Touch-ID-Sensor oder Macs mit Touch-Bar geht das seit Jahren deutlich eleganter – und diese Funktion funktioniert auch 2026 noch tadellos.
Mit einem simplen Trick lässt sich das Terminal so konfigurieren, dass beim Aufruf des sudo-Befehls keine lästige Passwort-Eingabe erfolgt, sondern stattdessen eine blitzschnelle Autorisierung per Fingerabdruck angefordert wird. Das spart nicht nur Zeit, sondern ist auch deutlich sicherer als ein Passwort, das potentiell mitgelesen werden könnte.
So aktiviert ihr Touch-ID für sudo-Befehle:
- Zunächst in einem Terminal den Befehl sudo nano /etc/pam.d/sudo [Enter] eingeben.
- Nun mit dem Editor zuoberst eine neue Zeile mit folgendem Inhalt einfügen:
auth sufficient pam_tid.so - Jetzt wird die Datei gespeichert (Ctrl+O, dann Enter, dann Ctrl+X), fertig.
Ab der nächsten nötigen Autorisierung eines sudo-Kommandos erscheint die Touch-ID-Aufforderung, wie gewünscht.
Kompatibilität und Voraussetzungen
Diese Methode funktioniert mit allen macOS-Versionen seit macOS Sierra (10.12) und ist auch unter macOS Sequoia und den neuesten Versionen 2026 voll unterstützt. Ihr benötigt lediglich einen Mac mit Touch-ID-Sensor – das sind alle MacBook Pro und MacBook Air Modelle seit 2016 sowie die neueren iMacs und Mac Studios mit Touch-ID in der Tastatur.
Warum das so praktisch ist
Wer regelmäßig im Terminal arbeitet und häufig sudo-Befehle verwendet, wird diese Einstellung zu schätzen wissen. Besonders bei längeren Arbeitsessions oder beim Ausführen mehrerer Admin-Kommandos hintereinander spart ihr euch das ständige Eintippen des Passworts. Touch-ID ist nicht nur bequemer, sondern auch sicherer: Kein Passwort kann über die Schulter mitgelesen oder durch Keylogger abgefangen werden.
Was passiert im Hintergrund?
Die Datei /etc/pam.d/sudo steuert die Authentifizierungsmethoden für sudo-Befehle. PAM steht für „Pluggable Authentication Modules“ – ein flexibles System, das verschiedene Authentifizierungsmethoden ermöglicht. Mit dem Eintrag „auth sufficient pam_tid.so“ weist ihr macOS an, dass Touch-ID als ausreichende Authentifizierungsmethode akzeptiert wird.
Troubleshooting und Tipps
Falls Touch-ID nicht funktioniert, überprüft zunächst, ob Touch-ID grundsätzlich aktiviert und konfiguriert ist. Geht dazu in die Systemeinstellungen > Touch-ID & Code und stellt sicher, dass mindestens ein Fingerabdruck registriert ist. Manchmal hilft es auch, den Terminal zu beenden und neu zu starten.
Bei manchen Terminal-Emulatoren wie iTerm2 funktioniert Touch-ID möglicherweise nicht sofort. In iTerm2 müsst ihr zusätzlich unter Preferences > Advanced die Option „Allow sessions to survive logging out and back in“ deaktivieren.
Sicherheitsüberlegungen
Trotz der Bequemlichkeit solltet ihr euch bewusst sein, dass Touch-ID die Hürde für Admin-Befehle senkt. Das ist in den meisten Fällen unproblematisch, aber in hochsensiblen Umgebungen könnte die Passwort-Eingabe die sicherere Variante sein. Touch-ID kann theoretisch auch von anderen Personen mit Zugriff auf euren Mac umgangen werden, während ein starkes Passwort nur ihr kennt.
Rückgängig machen
Solltet ihr die Einstellung wieder rückgängig machen wollen, öffnet erneut die Datei /etc/pam.d/sudo und entfernt die Zeile „auth sufficient pam_tid.so“. Alternativ könnt ihr sie mit einem # am Zeilenanfang auskommentieren, um sie bei Bedarf schnell wieder zu aktivieren.
Diese kleine Anpassung macht die Arbeit im Terminal deutlich flüssiger und zeigt, wie durchdacht Apples Integration biometrischer Authentifizierung auch in traditionellen Unix-Umgebungen funktioniert.
Zuletzt aktualisiert am 08.03.2026
