Hallo,
mal 'ne Verständnisfrage dazu: Gibt es überhaupt einen Sicherheitsmehrgewinn, wenn man die Prebootauthentifizierung verwendet ? Man kann ja seit Windows 8 Bitlocker an die Benutzerkennwörter von Windows koppeln, so dass z.B. nach 5 maliger Falscheingabe der Bitlocker-Recovery-Key abgefragt wird. (Quelle:
https://technet.microsoft.com/en-us/security/jj884374.aspx)
Grüße, pepun.
Hi,
Genau den von dir verlinkten Artikel habe ich mir vor einiger Zeit (als ich überlegt habe wie ich das Tab verschlüssel) auch gelesen.
Ich denke das hängt stark von den Ansprüchen ab.
Ein via TPM verschlüsseltes Tab (sollte) bei den meisten Angriffsszenarien wie etwa das umgehen des Windows Passworts & das auslesen der HDD via beliebigen Live Linux ausreichend Schutz bieten da das Gerät ja verschlüsselt ist.
Risikomöglichkeiten:
>> Wenn man es schafft den Key aus dem TPM Modul auszulesen. Aber ich habe hierzu noch nie irgend-etwas gelesen dass das Möglich wäre.
>> Die Hürde um ans System zu kommen hängt nun nur noch am Windows Passwort und das Tab hat sich ja zu dem Zeitpunkt schon automatisch entschlüsselt.
Hier könnte man dann einen Angriff ansetzten. Wenn ich z.B. Anmeldung via Geste oder Pin verwende kann ein Angreifer aufgrund eventueller Fingerabdrücke auf dem Gerät leicht(er) auf den Pin oder die 3 Wisch-Gesten schließen. Das geht natürlich auch beim Passwort, aber wenn man genug stellen verwendet halte ich das für deutlich sicherer. Auch das Szenario ist natürlich sehr unwahrscheinlich.
Was wahrscheinlicher wäre: Man verwendet ein MS-Konto zum Login und ein Angreifer hat es vorher geschafft, das MS Konto zu komprimitieren (Ich denke mal ein Brute-Force angriff auf das Outlook / Live- Konto im Vorfeld ist gar nicht mal so unwahrscheinlich, daher immer die 2 Faktor Authentifizierung für das MS-Konto verwenden!)
Meine persönlichen Gründe für pre-boot:
Ich fühle mich einfach wohler wenn ich weis, dass das Tab ohne Passwort nicht automatisch entschlüsselt und nur noch auf das User Passwort wartet (eben weil man das Win PW leichter eraten kann) und somit eine reihe von potentiellen Angriffsmöglichkeiten wegfällt.
Und vor allem einfach weil man es kann :thumbsup: .
Bei mir trifft das gleiche zu wie wohl bei 60-70% der Foren-User hier: Wir verschlüsseln einfach aus Spaß. Die wenigsten (oder warscheinlich sogar niemand) hier wird irgendwelche Geheimen Daten auf dem Rechner haben von denen der fortbestand der Menscheit abhängt
(auch auf meinem Rechner findet sich tatsächlich nichts was für Geheim-Dienste interessant sein könnte. Ich beschäftige mich einfach gern mit solchen Themen).