Wie sicher sind die Passwörter auf thinkpads??

[tuxpad]

Hallo!

Ich würde zur Absicherung auch Truecrypt empfehlen, ich nutze es selbst mit pre-boot-authentication. Es ist günstig, recht gut dokumentiert und daher einfach in der Nutzung.
Schutz wird natürlich nur gewährleistet, wenn das Gerät aus oder mindestens im Ruhezustand (Hibernation, FN+F12) ist. Im Standby oder bei nur gesperrtem Gerät können böse Buben den Rechner via Firewire attackierne und haben damit direkten Zugriff aus das RAM inkl. aller Passwörter, die sich da gerdade tummeln. Nur so als Ergänzung zu der von Dir aufgezeigten eSATA-Problematik.

Viele Grüße

tuxpad

P.S.: Bevor Du die Platte verschlüsselst sicherheitshalber ein Backup, besser Image anlegen. Es kann ja auch mal was schiefgehen dabei...

 

[tuxpad]

wo ist da der Haken? ist ernst gemeint, die Frage. Das Passwort oder die Phrase wird aufgeschrieben und ist somit bekannt..

Der Haken ist die mangelnde Sicherheit der Fingerabdruck-Scanner. Der verbaute hat zum Beispiel keine Lebenderkennung und kann mit simplen Tricks überlistet werden, siehe z.B. hier im 3. Absatz:
http://www.spiegel.de/netzwelt/tech/0,1518,544244,00.html

Wer sich näher mit der Thematik befassen will, dem seien die BioP-Studien des BSI ans Herz gelegt. Insbesondere die Problematik von False-Acceptance und False-Rejection wie von elarei angesprochen werden dort gut erläutert.

Viele Grüße

tuxpad

 

[u.mac]

Ich versetze mich 'mal in einen gewöhnlichen Dieb... da liegt ein Notebook irgendwo 'rum und ich greife erstmal zu.

Bon, ich bekomme die Kiste nicht gestartet, kann auch kein neues BS aufspielen... also werf' ich es weg (wahrscheinlich) oder verticke es in Teilen (unwahrscheinlich).

So oder so... das TP ist weg und wird seinen Weg wohl niemals zum rechtmässigen Eigentümer finden.

Fazit: die ganzen Aktionen können max. dazu dienen, Zugriffe auf private/brisante Daten zu erschweren - den Diebstahl selbst verhindert man damit nicht.

 

[komiker]

den Diebstahl selbst verhindert man damit nicht.

hehe, der is gut... Wobei.. ne 75Kg Eisenkugel dürft ein Diebstahl recht erfolgreich verhindern...

 

[todims]

die passt aber nicht ins Sleeve

 

[komiker]

ähm... nee

 

[bastler74]

ein hdd passwort ist so gut wie unmöglich zu knacken, dass reicht in kombi mit nobbys tipp vollkommen aus.

 

[sl500]

jenau wenn mein thinkpad an ist, bleibt es nicht unbeaufsichtigt!
Wenns aus ist, hat der Dieb durch Power on Password , BIOS PW und HDD PW no Chance

 

[Moskito]

Ein kurzer Überblick:

Passwörter die das Notebook schützen sollen:
- PowerOn Passwort: Kann durch Entfernung der Bios-Batterie zurückgesetzt werden. Ist allerdings ein Supervisor-Passwort gesetzt, muss dieses zwingend beim nächsten Start danach eingegeben werden. (Die entsprechende Anleitung für das Zurücksetzen findet sich im HMM.)
- Supervisor Passwort: Kann offiziell nur durch Mainboardtausch "zurückgesetzt" werden. Allerdings kann auch dieses Passwort in der Theorie wie auch Praxis ausgelesen/entfernt werden (mit entsprechendem Aufwand), daher bietet es keinen 100% Schutz.

Passwörter die die Daten "schützen" sollen:
- HDD Passwort ohne FDE: Alle Daten liegen im Klartext vor und können von jedem Datenrettungsunternehmen ausgelesen werden. (Wenn Fehler in den Firmwares vorliegen ist aber nicht einmal dies notwendig.)
- HDD Passwort mit FDE: Fehler bei der Implementierung mal abgesehen und gut gewähltes Passwort, grundsätzlich nicht zu knacken. Das Passwort/Key kann nicht ausgelesen werden.
- TrueCrypt Verschlüsselung: Bei abgeschaltetem Notebook und gut gewähltem Passwort nicht zu knacken. Passwort bzw. Key kann im laufenden Betrieb grundsätzlich ausgelesen werden.

Weitere Risiken:
- Wenn das Notebook läuft oder sich nur im Standby befindet, dann kann bei aktiviertem eSATA/Firewire/ExpressCard/SD-Slot theoretisch der gesamte Speicherbereich ausgelesen werden.
- Natürlich kann man sich auch jederzeit Untermieter in Form von Trojaner oder ähnlichem einfangen, welche wiederum den Schutzaufwand zunichte machen.

Fazit:
1. 100% Schutz gibt es nicht, PowerOn-Passwort, Supervisor-Passwort sowie HDD-Passwort mit FDE oder sonst Truecrypt sind aber eine sehr gute Basis.
2. Ein HDD Passwort im Zusammenhang mit FDE oder Truecrypt haben auch ihre Kehrseite. Wenn man das Passwort vergisst oder der Bereich (die Bereiche bei TrueCrypt) in dem der Schlüssel gespeichert wird einen Defekt hat, dann gibt es keine (!!!) Möglichkeit mehr an die Daten ranzukommen! Sehr regelmässige Backups sind bei einer solchen Konfiguration also absolute Pflicht!
3. Beim HDD-Passwort bzw. Truecrypt-Passwort muss ein anderes gewählt werden, als beim PowerOn- bzw. Supervisor-Passwort, da letztere nur bedingt sicher sind.

mfg Moskito

 

[Zwiebelsuppe]

oder der Bereich (die Bereiche bei TrueCrypt) in dem der Schlüssel gespeichert wird einen Defekt hat, dann gibt es keine (!!!) Möglichkeit mehr an die Daten ranzukommen!

Der Vollständigkeit halber sei hier erwähnt, dass in diesem Fall der Header (so heist der Bereich) wieder hergestellt werden kann - vorrausgesetzt, er wurde vorher(!) gesichert.

Die Passwörter "die das Notebook schützen sollen" sorgen dafür, dass der Dieb es wohl nicht benutzen oder weiterverkaufen kann. Zurückbringen wird er es aber vermutlich trotzdem nicht