Ich habe bei einigen Dell-Computern im Bios die Möglichkeit gesehen, nicht nur ein Bios-Passwort zu setzen, sondern auch ein Systempasswort, das vor dem Booten abgefragt wird und auch ein Festplattenpasswort. Nun lese ich aber auf der Dell-Website, dass entweder über einen Jumper oder auch das Entfernen der Batterie, bei neueren Geräten sogar einfach über das Lange-Drücken der Powertaste das Bios zurückgesetzt und somit alle Passwörter wieder gelöscht werden können. Was bringt denn dann das ganze?
Das bringt etwas, solange die Maschine am Ort verbleibt. Zum Beispiel wird man derartige Aktionen in einem Büro nicht ohne Weiteres durchführen können.
ein Passwort damit nicht jeder Einstellungen im BIOS ändern kann halte ich für Ok. Von Festplattenpasswörtern rate ich ab, denn zum einen gab es zumindest in der Vergangenheit Festplatten, die bei ihrer Verschlüsselung geschwächelt haben, zum anderen will man die Keys der Festplatten eigentlich eh zentral managen (z.B. Bitlocker-Keys im AD speichern), und auf der Ebene klappt das nicht.
Naja, den Power-Button 30 s lang drücken schafft man wohl auch im Büro schnell…
Ich hatte das so verstanden, dass das Festplattenpasswort nicht Verschlüsselung bedeutet - diese würde dann über Bitlocker oder LUKS o.ä. stattfinden, das Passwort sei eben nur ein Zugangsschutz - aber anscheinend kein wirklich sinnvoller bzw. nur dann hifreich, wenn die Festplatte ohne Computer abhanden kommt.
Das letzte, was ich zum Festplatten-Paswort aka ATA-Passwort fand, war bei heise in „SSD mit ATA-Passwort“.
Ausführlicher in „ATA Security“ auch bei heise mit einem Link zum noch älteren Artikel „Bärendienst“.
Habe das selbst vor SSD-Benutzung auch verwendet, nur wurde es regelmäßig nur von Mobilrechnern unterstützt. Mit Linux und Kommandozeile war es bei Kenntnis des Passwortes möglich, darauf auch mit Desktop-Rechnern zuzugreifen.
Nur ein HP-Rechner hat mich mal geärgert, das UEFI-Board wollte nicht mehr, mußte den Rechner einschicken, konnte auf die zuvor ausgebaute Platte in einem anderen Rechner jedoch auch mit Passwort nicht zugreifen. Erst wieder, als ich den Rechner mit anderem Board zurück erhielt.
HP hatte da wohl ein eigenes Passwort gesetzt, das aber irgendwie auf dem eingegebenen beruhte.
1 „Gefällt mir“
Es gibt bei aktuellen Dells mehrere Möglichkeiten, ein Passwort zu setzen. Es gibt u.a. “BIOS-Admin-Passwörter”, Passwörter für eingeschränkten BIOS-Zugriff und Festplattenpasswörter, die im Zusammenhang mit entsprechenden SSDs die Festplatte verschlüsseln. Deshalb muss man das Passwort dann auch beim Booten angeben.
Technisch gesehen werden die Festplatten nicht mit dem Passwort verschlüsselt, sondern mit einem längeren und sichereren Schlüssel, der mit dem Passwort über das TPM freigeschaltet wird. Die Methode soll sicherer sein als Bitlocker, zu dem es ja schon erfolgreiche Angriffe gab.
Aus den Maschinen ausgebaute SSDs sollen ausserhalb ihrer Rechner nicht lesbar sein, weil ihnen der Schlüssel aus dem TPM fehlt, d.h. auch wenn man die SSD in einen anderen Rechner einbaut und das gleiche Festplattenpasswort im BIOS einstellen würden, käme man nicht an die Daten.
Ganz zufällig bietet sich mir in naher Zukunft die Möglichkeit, das zu testen 
(Dell Laptop mit Festplattenpasswort und passender SSD). Wenn ich Zeit habe, werde ich meine Versuche, eine so verschlüsselte Festplatte auszulesen, hier dokumentieren.
1 „Gefällt mir“
Auf welche Angriffe und auf welche Kombination von Bitlocker-Protektoren beziehst Du Dich?
Hast Du eine Quelle?
@Joachim Letztes Jahr wurde ein Angriff auf Bitlocker gezeigt: BitLocker in 43 Sekunden ausgehebelt.
Der Titel ist sehr reißerisch, erschließt sich aber da Eset seine eigene Verschlüsselungslösung verkaufen will. Man muss aber die Randbedingung beachten:
Diese Methode zielt auf ältere Rechner ab, bei denen das TPM nicht in die CPU integriert ist.
Bist Du Dir sicher, dass die Festplatten verschlüsselt werden? Bei Dell steht nur, dass sie durch das Passwort geschützt werden: https://www.dell.com/support/kbdoc/de-de/000144307/festlegen-eines-festplatten-oder-hdd-ssd-bios-kennworts-um-ihr-laufwerk-zu-sperren
Und hier steht unter “Anleitung zum Zurücksetzen der Echtzeituhr (nur neuere Desktop-PCs)”, dass man das Bios auch über die 30 s-lang-die-Powertaste-drücken zurücksetzen kann. Wobei mir gerade auffällt, dass bei dieser Option - im Gegensatz zu den darübergenannten Optionen wie Jumper oder Entfernung der Batterie - nicht ausdrücklich erwähnt wird, dass dabei auch alle Passwörter gelöscht werden. Trotzdem bringen eine die Passwörter allesamt auch nichts, wenn der gesamte Computer abhanden kommt.
Der Angriff ist nicht gegen Bitlocker sondern gegen die TPM-CPU-Kommunikation. Der exakt gleiche Angriff geht auch bei Linuxsystemen die den gleichen TPM-only-Mechanismus verwenden. Bei Bitlocker kann man - entgegen der Behauptung im Video - sehr wohl zusätzlich eine PIN oder Netzwerkauthentifizierung verwenden, bei Linux soll das inzwischen auch gehen aber Anleitungen dazu kenne ich nicht. Überhaupt kenne ich deutlich mehr Verwender von Bitlocker als Verschlüsselung unter Linux, und zusätzliche Preboot-Authentication (ESET verkauft derartiges) kenne ich bei Linux niemanden. (Und Schleswig-Holstein schweigt sich zur Sicherheit ihres Linux-Laptops aus.)
Der Laptop im Video ist von 2014 (steht auf der SSD, um 3:57 und nochmal am Ende). Bei TPM in der CPU - in neueren Laptops - ist dieser Angriff wesentlich erschwert. Schon die <50s erst wenn ich den Pi habe und die richtige Stelle auf der Platine kenne.
Gegen ein laufendes oder selbststartendes System geht immer auch eine Cold-Boot-Attacke, bei Windows wie bei Linux.
Zu den Quellen: Siehe die Antworten der anderen hier.
Bei allen Angriffen ist von einem Aufwand auszugehen, der das, was üblicherweise Scriptkiddies versuchen, übersteigt. Die Wahrscheinlichkeit, dass ein Passwort per brute force oder social engineering (Name des Hundes, Gebirtsdatum Kind, ein Passwort, das woüberall benutzt wird, o.ä.) erraten wird, ist höher.
Und hier die Infos von Dell dazu - siehe die Links. Google nach “SED” (nicht verwandt oder verschwägert mit der ehemaligen DDR-Partei ;-))
https://www.dell.com/support/kbdoc/en-us/000178978/troubleshooting-hard-drive-encryption-issues
Lenovo bietet Festplattenverschlüsselung, die durch gar nichts ausgehebelt werden kann. Ich hatte einen Fall einer verschlüsselt gewesenen Platte (der Rechner war gestorben). Die Daten waren gesichert, von daher kein Problem. Aber die Platte überhaupt in einem anderen Rechner wieder als jungfräulich zu beleben, war ein größeres Vorhaben.
Die großen Vorteile dieser Methode:
- Der gesamte Platteninhalt ist im Ruhezustand sicher verschlüsselt, vermutlich auch sicher genug gegen die Schlapphüte.
- Für die auf der Platte installierten Systeme (Dual- oder Multiboot) ist die Verschlüsselung unsichtbar. Einmal beim booten aufgeschlossen, wissen Windows oder Linux nichts von der Verschlüsselung. Wer will, kann immer noch die im jeweiligen System integrierte Verschlüsselung nutzen. Ich mache das.
@Universalgelehrt Könntest Du ein Tutorial verfassen, wie man seinen Rechner zu Hause verschlüsselt?
Smartphone absichern ist ja hier im Forum schon viel besprochen worden, aber für meine zwei Notebooks zu Hause (und vielleicht auch für USB-Sticks? Datensicherungen kommen da natürlich verschlüsselt drauf, aber manchmal will man auch nur einzelne Dateien draufhaben, die sind dann erstmal nicht verschlüsselt) bräuchte ich noch eine - möglichst auch für Laien wie mich - gute Strategie.
Na das macht dann wenigstens Sinn, im Gegensatz zu Dells Ansatz,…
Ähm - es gibt schon 1000 solcher Tutorials, denen werde ich nicht das 1001ste hinzufügen. Bei mir gibt es nur Lenovo T- oder X- Geräte. Da die viel auf Reisen sind (mit mir zusammen 
), nutze ich die Lenovo-eigene Plattenverschlüsselung. Meist sind es Dual-Boot (Win, Linux), manchmal triple-Boot (Win, Linux-a, Linux-b). Win ist nur Rückfallposition für Spezialfälle und für eventuelle BIOS-Updates. Die Linuxe installiere ich mit der Option „Benutzerdaten verschlüsseln“. So kann ich den Rechner auch unbesorgt im Standby lassen, weil ohne mein gutes PW niemand an die Daten kommt.
Es mag eine schwache Chance geben, dass ein Geheimdienst heimlich etwas böses drauf installieren könnte (ich kenne keinen Weg, aber …). Na gut, sag’ ich: Wenn du Zielperson der Schlapphüte bist (ich bin es wissentlich nicht), dann kriegen sie dich so oder so. Man kann sich auch zu Tode versichern. Meine Daten sichere ich regelmäßig auf ein externes Medium (NAS und USB).
Mit dem Setup fühle ich mich realistisch ausreichend gut geschützt. Man muss halt immer schauen, gegen welche Art von Angriffen man sich absichern möchte.
Ist das eine Werbebotschaft von Lenovo oder wie kommst Du zu der Aussage?
1 „Gefällt mir“
Der vorletzte Beitrag besagt doch: eher Finger weg!
Ich nutze sie trotzdem und fühle mich sehr sicher damit. Gegen geheimdienstliche Mittel ist kein Kraut gewachsen. Wenn du eine 100% quantensichere Verschlüsselung verwendest, dann verwanzen sie hat deinen Rechner oder Smartphone oder Wohnung oder oder. Ein entschlossener Gegner mit entsprechend hohem Budget durchbricht jeden Schutz. Für alle anderen Fälle ist die Verschlüsselung sicher genug.
1 „Gefällt mir“
hier ist jeder mit etwas anderem (un)zufrieden, alles unter dem Oberbegriff „Sicherheit“. Daher lohnt es immer zu fragen, warum eine Behauptung in den Raum gestellt wird oder welcher Angreifer unterstellt wird.
Im Zweifelsfall vertraue ich verbreiteten, portablen, und überprüften Mechanismen/Implementierungen lieber als anderen. Das BIOS oder Firmware einer Festplatte zählt da selten dazu.
3 „Gefällt mir“