Hi,
in den GPO finde ich nur die Einstellung, dass ich eine „erweiterte“ PIN eingeben kann. Ergo kann ich dort nur bis 20 Zahlen eingeben. Selbst wenn ich zusätzlich noch Buchstaben eingeben könnte, wären 20 zu wenig.
Gibt es eine Funktion um eine Passphrase zu aktivieren, die Alphanumerisch ist?
Schau mal hier nach: https://learn.microsoft.com/de-de/windows/security/information-protection/bitlocker/bitlocker-group-policy-settings#reference-configure-minimum-pin-length-for-startup
Danke. Leider steht dort nichts zu dem Passwort bzw. nur, dass ein Passwort ohne TPM möglich ist. Ich möchte aber TPM mit Passwort.
Der Sicherheitsaspekt wurde allerdings gut erläutert.
Groß- und Kleinbuchstaben, Symbole, Zahlen und Leerzeichen kannst Du eingeben beim Erweiterten PIN.
https://learn.microsoft.com/de-de/mem/configmgr/protect/tech-ref/bitlocker/settings
Stimmt, aber das erhöhen auf mehr als 20 funktioniert wohl mit aktivierten TPM nicht.
Was versprichst du dir von einer langen PIN fürs TPM?
Gefühl der erhöhten Sicherheit.
Das ist aber dann kein tatsächlicher Sicherheitsgewinn, sondern ein gefühlter. Gefühl ist bei Fragen der Sicherheit meist ein schlechter Ratgeber. 
Ich weiß, aber ich habe das Meme halt im Kopf und das seit, gefühlt, einer Ewigkeit.
Ist halt schwer vorstellbar, dass in Kombination eines TPM ein PIN (numerisch) von 6 reichen soll…
jeder TPM-Hersteller muss eine Schutz Logic in seinen Chip einbauen.
nach xx falschen PINs wird das TPM für xx Stunden gesperrt.
Danke. Kann ich dies per GPO ebenfalls manuell festlegen?
ja das geht in der GPO bestimmt.
TPM-Hersteller muss eine Schutz Logic in seinen Chip einbauen.
nach xx falschen PINs wird das TPM für xx Stunden gesperrt.
Hallo, wie kann ich das bei Windows 10 / 11 ohne TPM Nutzung über die GPO realisieren?
VG
usersecure
Falls es jemanden interessiert, ab der Spezifikation TPM 2.0 sind das default 32 Fehlversuche, danach ist jede Stunde ein weiterer Versuch möglich.
Ein 6 Stelliger PIN ist daher in der Theorie ausreichend.
Allerdings nur so lange bis es einen Exploit für die TPM Technologie (bzw genügt einer gegen die Anti-Hammering Mechanismen) gibt.
Deswegen ja, ich fände es für einen normalen User auch einen Overkill mehr als 20 Zeichen zu nutzen, aber warum die Möglichkeit nicht gegeben ist verstehe ich nicht.
Guckst Du:
Besser kann ich es auch nicht erklären.
Andererseits: ich habe die Passphrasen in etlichen Jahren erst einmal gebraucht und im zweiten oder dritten Versuch die volle mögliche Länge fehlerfrei geschafft.
Normalerweise wird mittels regulärer Anmeldung die Entschlüsselung geöffnet.
Die ist natürlich bedienungsfreundlicher.
