Wenn mein Notebook gestohlen wird, genügt das Windows Kennwort nicht, oder?

[Nilson]

Aber was bringt mir das, wenn ich beim Start kein Bitlocker Kennwort oder Bitlocker PIN eingeben muss?

Beim start fragt der Windows-Bootloader das TPM nach dem Key. Das TPM rückt den Key aber nur raus, wenn sich der Bootloader gültig authentifiziert*. Wurde der Bootloader manipuliert oder ein anderes OS fragt nach dem Key, rückt das TPM den Key nicht raus. Ebenfalls bringt es dann nichts den Datenträger auszubauen, weil das TPM und damit der Key fest an die Hardware gebunden ist.

*Dieser Authentifizierungsprozess hat ein paar bekannt Schwächen, daher die zusätzliche Absicherung über den Pre-Boot-Pin.

 

[Maviapril2]

Dann nichts, einfach Bitlocker mit PIN/Passwort einrichten und gut ist

 

[Arboster]

Aber was bringt mir das, wenn ich beim Start kein Bitlocker Kennwort oder Bitlocker PIN eingeben muss?

Du sollst es doch so einrichten, dass Du beim Start den Bitlocker PIN eingibst.

 

[Oc3an]

Aber Bitlocker ohne PIN macht doch Null Sinn, da man das Windows-Anmeldekennwort offensichtlich leicht umgehen kann. ❓

 

[Nilson]

@Oc3an Die meisten Methoden um das Windows-PW zu umgehen basieren darauf, dass du Zugriff auf die (nicht verschlüsselte) Festplatte hast. Das hast du mit Bitlocker eben nicht.

 

[Oc3an]

Das hast du mit Bitlocker eben nicht.

Aber nur, wenn ein BL Kennwort oder PIN eingerichtet ist, oder? Komisch, dass das überhaupt optional eingerichtet werden kann.

 

[redjack1000]

da man das Windows-Anmeldekennwort offensichtlich leicht umgehen kann. ❓

Versuch das mal, wenn Bitlocker aktiv ist.
Ich empfehle vorher eine Datensicherung zu erstellen, nach dem Ändern des PW, kommst Du an die Daten nicht mehr ran.

CU
redjack

 

[Khorneflakes]

Ich verstehe noch nicht ganz wo genau jetzt das Problem ist. Du musst dich natürlich mit irgendeiner Methode authentifizieren, z.B. einem Passwort, damit der Bitlocker das verschlüsselte Laufwerk aufmacht. Das ist nicht vergleichbar mit dem Passwort, welches du bei der Anmeldung an Windows benutzt. Wenn du nicht das richtige Bitlocker-Passwort hast, dann bleibt das Laufwerk verschlüsselt. Das kann man dann zwar auch auslesen, hat aber nur Datensalat.

 

[tollertyp]

@redjack1000: Ich bezweifle, dass er das PW überhaupt ändern könnte, meiner Meinung nach bekommt er ja nicht mal Zugriff auf ein Dateisystem.

 

[Skudrinka]

Aber nur, wenn ein BL Kennwort oder PIN eingerichtet ist, oder? Komisch, dass das überhaupt optional eingerichtet werden kann.

Ja, wenn du Bitlocker einrichtest, dann mir Start-Passwort.
Ansonsten ist das Laufwerk nur mit dem TPM verschlüsselt und bringt dir so nichts.
Das kann hilfreich sein um externe Datenträger zu verschlüsseln, die dann nur an dem einen Rechner, automatisch, entschlüsselt wird, über dem TPM.

Das Anmelde-Kennwort, wie bereits geschrieben, bietet keinerlei Sicherheit.
Es ist nur dafür da, dass andere, nicht mal eben so, an deinen Rechner können.
Dies ist keine Verschlüsselung und stellt kein Hindernis da.

Der knackt das mit Profitools.

Das ist gelinde gesagt, blödsinnig.

 

[Nilson]

Ansonsten ist das Laufwerk nur mit dem TPM verschlüsselt und bringt dir so nichts.

Bringt schon was, wenn die Implementierung ausreichend sicher wäre. Je nach Art des TPM (extra Modul oder fTPM) gibt es aber Methoden dem TPM sein Geheimnis zu entlocken. Daher die zusätzliche Sicherheit über den Pre-Boot-Pin. Aber auch ohne ist die Hürde für einen potentiellen Angreifer (deutlich) höher, als wenn die Platte gar nicht verschlüsselt wäre.

Das Anmelde-Kennwort, wie bereits geschrieben, bietet keinerlei Sicherheit.
Es ist nur dafür da, dass andere, nicht mal eben so, an deinen Rechner können.
Dies ist keine Verschlüsselung und stellt kein Hindernis da.

Das Anmelde-Kennwort alleine bietet keinerlei Sicherheit.
Auch mit Bitlocker sollte und muss das Windows-Passwort ausreichend sicher gewählt werden.

 

[Skudrinka]

Bringt schon was, wenn die Implementierung ausreichend sicher wäre.

Nein, das Laufwerk wird beim Start automatisch entschlüsselt.
Würde das Notebook gestohlen werden, braucht es der Täter nur einzuschalten.

Daher die zusätzliche Sicherheit über den Pre-Boot-Pin.

Es ist die Einzige.

Das Anmelde-Kennwort alleine [...] bietet keinerlei Sicherheit.

Schrieb ich das nicht deutlich genug?

Auch mit Bitlocker sollte und muss das Windows-Passwort ausreichend sicher gewählt werden.

Bringt rein gar nichts.

 

[Nilson]

Nein, das Laufwerk wird beim Start automatisch entschlüsselt.

Ja, dann startet Windows bis zum Anmeldebildschirm. Und dann? Rein kommst du immer noch nicht. Daher auch das sichere Windows-PW.

 

[tollertyp]

Ja, wenn du Bitlocker einrichtest, dann mir Start-Passwort.
Ansonsten ist das Laufwerk nur mit dem TPM verschlüsselt und bringt dir so nichts.
Das kann hilfreich sein um externe Datenträger zu verschlüsseln, die dann nur an dem einen Rechner, automatisch, entschlüsselt wird, über dem TPM.

Ich glaube du solltest dich nochmal darüber informieren, wann Bitlocker den Datenträger "entschlüsselt".

 

[Looniversity]

Kommt darauf an, wie es aufgebaut ist.
Mindestens 15 Stellen, Klein- und Großbuchstaben, Zahlen und Sonderzeichen.
Das wäre relativ sicher.

Nein. Wenn die Festplatte/SSD nicht verschlüsselt ist überschreibe ich die Datei, in der das Passwort gespeichert ist, mit meiner eigenen und logge mich dann einfach mit meinem eigenen Kennwort an.

Oder ich bearbeite die Registry und nehme das Kennwort ganz raus. Oder lege mir ein neues Benutzerkonto ohne Kennwort an. Oder, oder, oder - kurzum, entweder verschlüsselt man das ganze Ding vernünftig mit Bitlocker oder man kann es alles gleich ganz bleiben lassen.

Die ganzen Optionen sind übrigens nicht weit hergeholt, das hab ich alles schon gemacht wenn ich mal ein Benutzerkennwort auf einem meiner alten Rechner oder einer VM vergessen habe.

 

[tollertyp]

@Looniversity: Oder halt eine andere Verschlüsselung. Aber wer keine Verschlüsselung verwendet, der hat keinen Sicherheitsanspruch.

 

[Skudrinka]

Ich glaube du solltest dich nochmal darüber informieren, wann Bitlocker den Datenträger "entschlüsselt".

Du hast Recht, mit Bitlocker ist es wohl nicht möglich, über einen Stick an die Eingabeaufforderung zu kommen.
Davon bin ich fälschlicherweise ausgegangen.

 

[tollertyp]

Bei Bitlocker ohne Pre-Boot-PIN steht und fällt halt alles damit, wie leicht man sich in Windows dann anmelden kann. Also den Passwort-losen Administrator sollte man z.B. deaktiviert lassen...

 

[Nilson]

u hast Recht, mit Bitlocker ist es wohl nicht möglich, über einen Stick an die Eingabeaufforderung zu kommen.

Dafür braucht es nicht mal ein Stick. Auch mit TPM-only-Bitlocker kommt man in den Recovery-Modus von Windows und damit an eine cmd. Nur eben ein verschlüsselts Windows:

+
Zum Vergleich, wenn entsprerrt:

 

[Skudrinka]

Auch mit TPM-only-Bitlocker kommt man in den Recovery-Modus von Windows und damit an eine cmd.

Nur kann ich keine Daten ändern und somit auch nicht das Passwort manipulieren.

Ergänzung (20. April 2025)

Ich empfehle mehr zu lesen!

Gib uns Lesestoff!