Bitlocker mit/ohne PIN: Fragen zur Sicherheit und Login ohne Windows Kennwort

[eehm]

Hallo Zusammen,

ich habe mein neues Laptop auf TPM 2.0 hochgezogen und Bitlocker mit PIN (alphanumerisch) eingestellt.

Ich hoffe ich habe es richtig verstanden, dass bei der Version ohne PIN folgendes gelten würde:

• Festplatte ist nur in dem Laptop auslesbar
• Wenn das Windows Kennwort geknackt oder umgangen wird sind die Daten entsperrt

Wäre alleine die Lösung mit dem Windows Passwort ohne PIN schon sicher genug, dass man nicht leicht an meine Daten kommt? Lässt sich das Windows Kennwort schwer umgehen oder ist das ein leichtes?

Jetzt gebe ich beim Starten meine Bitlocker PIN ein und dann kommt die Windows Anmeldung.
Gibt es hier eine Möglichkeit den Windows Start beim ersten mal ohne Passwortabfrage zu starten?
Alle von mir im Netz gefundenen Anleitungen gehen nicht, weil die Optionen nicht verfügbar sind.
Aber es macht doch beim ersten Start wirklich keinen Sinn noch das Passwort für Windows zusätzlich zur Bitlocker PIN abzufragen?

Das Gerät wird nur von mir genutzt!

 

[fanaticmd]

https://praxistipps.chip.de/windows-10-ohne-login-starten_39568

Ist zwar von Chip aber so mache ich es immer bei mir wenn ich die Win Anmeldung mit Passwort/PIN deaktiviere.

 

[eehm]

Das habe ich schon alles probiert!
Leider gibt es die Option "Benutzer müssen Benutzernamen und Kennwort eingeben" nicht.

 

[Jolagmer]

Wäre alleine die Lösung mit dem Windows Passwort ohne PIN schon sicher genug, dass man nicht leicht an meine Daten kommt? Lässt sich das Windows Kennwort schwer umgehen oder ist das ein leichtes?

Das Windows Passwort lässt sich auf unverschlüsslten Datenträgern leicht umgehen. Das ist hier aber nicht der Fall. Prinzipiell lässt sich die Verschlüsselung ohne Pin über einen Seitenkanalangriff nach dem Booten und vor dem Login knacken (https://docs.microsoft.com/en-us/pr...ws/it-pro/windows-8.1-and-8/dn632182(v=ws.11)). Das kann aber ein gewöhnlicher Dieb eher nicht. Alternativ kann ein Brute-Force-Angriff auf das Passwort oder den Pin beim Login erfolgen.

Bei Verwendung eines Pins zur Pre-Boot-Authentifizierung von Bitlocker wird der Datenträger nur nach Eingabe des Pins mit Hilfe des TPM entschlüsselt. Dann sind die Seitenkanalangriffe nur möglich, wenn ein Dieb das laufende und ggf. entsperrte Gerät stiehlt.

Aber es macht doch beim ersten Start wirklich keinen Sinn noch das Passwort für Windows zusätzlich zur Bitlocker PIN abzufragen?

Das Gerät wird nur von mir genutzt!

Dann sezt kein Passwort bei der Anmeldung oder verwende den Auto-Login, wie von fanaticmd beschrieben.

Wenn du einem Dieb das Leben schwerer machen willst, setzt du auch ein UEFI/Bios-Passwort, sodass der Dieb das TPM nicht einfach zurücksetzen kann (bitte gut notieren, da man meistens erst nach einiger Zeit wieder ins UEFI/Bios geht).

 

[eehm]

Dann sezt kein Passwort bei der Anmeldung oder verwende den Auto-Login, wie von fanaticmd beschrieben.

Danke für deine ausführliche Antwort. Dann würde mir wohl fast das Windows Passwort alleine reichen, aber mehr ist immer besser!
Gar kein PW möchte ich leider auch nicht, weil ich den Rechner schon auch mal sperren mag!

 

[Jolagmer]

Leider gibt es die Option "Benutzer müssen Benutzernamen und Kennwort eingeben" nicht.

Versuch mal Windows Hello zu deaktivieren: https://betanews.com/2019/11/28/no-microsoft-is-not-removing-autologin-from-windows-10-version-2004/

 

[eehm]

In der Registry will ich mein PW auch nicht ablegen! Dann lebe ich denke ich mit den zwei Passwörtern.

Ist der Rechner beim schalten in den Standby dann bei der Reaktivierung genauso stark geschützt, wie wenn ein Bitlocker OHNE PIN aktiv wäre?
Dann könnte ich den Rechner auch öfters nur in den Standby schalten und bei Reisen (wenn das Laptop im Koffer ist) ihn komplett herunterfahren um die Sicherheit zu erhöhen.

 

[6666david]

Standby(sleep) mode ist immer so eine Sache aber an besten immer herunterfahren für maximale Sicherheit

Und ein Windows Passwort ist kein Problem zu umgehen/überschreiben etc ...

 

[Bob.Dig]

Das Windows-Passwort kannst Du mittels autologon speichern, um es nicht jedes mal erneut eingeben zu müssen (Win10 2004). Bei einer FDE sehe ich auch keinen Grund, der dagegen spräche.

 

[Masamune2]

Das Windows Kennwort bei unverschlüsselter Platte zurückzusetzen ist einfach. Es auszulesen bei entsprechend komplexem Kennwort nicht realistisch.
Sobald die Platte mit Bitlocker verschlüsselt ist geht auch das zurücksetzen nicht mehr da man die Platte eben nicht lesen kann. Entschlüsselt werden kann sie nur aus der Kombination von Hardware, TPM Chip und dem Kennwort.
Die zusätzliche PIN ist also so gar nicht nötig, wichtig ist ein gutes Windows Kennwort.