Übersicht über Passwortmöglichkeiten

Doctor Who

New member
Registriert
14 März 2017
Beiträge
27
Hallo zusammen,

seit ich mir Anfang des Jahres ein gebrauchtes T430 gekauft habe (mit dem ich sehr zufrieden bin) lese ich hier schon fleißig mit und freue mich, dass es so ein gutes Forum (und das Wiki) gibt. Jetzt ist es aber soweit und ich schreibe meinen ersten Beitrag, weil meine Suchen alle nicht erfolgreich waren (vielleicht habe ich auch einfach nur falsch gesucht). Jetzt aber genug der Schwafelei und zum eigentlichen Thema:

Ich bin noch etwas verwirrt, was die zahlreichen Möglichkeiten angeht, Passwörter zu setzen und/oder die Platte (in meinem Fall eine SSD) zu verschlüsseln. Ein guter Einstieg war dieses Thema hier: https://thinkpad-forum.de/threads/170612-User-Password-und-Master-Password-für-Festplatte/page2
Aber ich frage mich ob es vielleicht irgendwo eine gute Übersicht über die verschiedenen Möglichkeiten Passwörter zu setzen gibt und wie man das genau macht, etwas wie ein Wikiartikel oder so. Je nach Variante scheint es ja doch mehr oder weniger große Nachteile zu geben, und ich hätte da gerne etwas mehr Ahnung von, bevor ich entscheide, was für mich sinnvoll ist und was nicht.

Schon einmal vielen Dank für die Hilfe
 
Ich bin noch etwas verwirrt, was die zahlreichen Möglichkeiten angeht, Passwörter zu setzen und/oder die Platte (in meinem Fall eine SSD) zu verschlüsseln.

Hauptsächlich und grob gesagt sind das folgende Passwörter, wenn man beim Start mit [F1] in das BIOS oder später in das WINDOWS geht:


  • Supervisor-Passwort: Sperrt das BIOS für Veränderungen außer für den Passwort-Ersteller, damit werden also auch Power-On-Password und SATA-Password geschützt
  • Power-On-Password: Sperrt den ganzen Computer außer für den Passwort-Ersteller
  • SATA-Password, auch HDD- oder SSD-Password genannt: Sperrt die Festplatte oder SSD außer für den Passwort-Ersteller (Passwort wirkt wie ein Schlüssel zum Eingang der Platte, die Daten auf der Platte werden aber selbst nicht verschlüsselt)
  • WINDOWS-Passwort: unabhängiges Passwort für WINDOWS, (neuerdings auch an Hotmail-Adresse oder OneDrive-Laufwerk gekoppelt)
  • Bitlocker-Schlüssel: Crypto-Schlüssel für die Verschlüsselung der Daten innerhalb von WINDOWS (Vorsicht: Nur verwenden, wenn man todsicher ein unverschlüsseltes Backup auf einer externen Festplatte hat. Sonst gibt es mitunter keine Wiederkehr der Daten... )
 
Dann gibt es noch

- User Passwort: Rechner booten und Bios-Optionen ansehen, aber nicht ändern
-> gibt es nur in Verbindung mit einem Supervisor-PW

Ein Wort zum HDD-Passwort, dass wird je nach Einstellung ("Passphrase") mit einem Hash-Wert generiert aus der Rechner-Hardware verschlüsselt auf den Platte abgelegt. Dies kann dazu führen, das die Platte nur an diesem Rechner(-Modell) enstschlüsselt+genutzt werden kann. In einem anderen Rechner gibt es keinen Zugriff, auch wenn das Passwort stimmt.
Eine mit einem HDD-Passwort versehene Platte/SSD kann außerdem nicht über USB genutzt werden (kommt keine Passwort-Abfrage -> kein Zugriff).

MfG, Sebastian
 
Dankeschön! Das bringt mich schon mal eine Ecke weiter. Ein paar Fragen habe ich aber noch:

1) Kann es sein, dass das Supervisor-Password auch als Masterpasswort oder BIOS-Passwort bezeichnet wird?
2) Das Supervisor-Password brauche ich nur, um Änderungen am BIOS vorzunehmen inkl. dem Ändern des Power-On-Passwords, oder? D.h. ich kann es theoretisch aufschreiben und irgendwo hinlegen weil ich es im alltäglichen Gebrauch nicht nutzen muss?
3) Wenn ich ein Power-On-Password festlege, gibt es dann eine Möglichkeit beim Starten mit nur einem Passwort zum Desktop zu kommen auch wenn für das Windowsbenutzerkonto ein Passwort vergeben ist? (Ich gehe mal davon aus das nicht...)

Also kurz zu meinen Plänen: Ich bin der einzige Nutzer des Thinkpads und das was ich erreichen möchte ist, dass falls es mir mal abhanden kommen sollte, niemand ohne unwirtschaftlichen Aufwand an meine Daten kommen kann. Für das eigene Seelenheil wäre es natürlich auch nicht schlecht zu wissen, dass wer auch immer es hat es nur noch als Briefbeschwerer verwenden kann, aber das ist nur sekundär.
Aktuell würde ich davon ausgehen, dass für meinen Zweck das Setzen eines Power-On-Passwords, eines Supervisor-Passwords und eines HDD-Passwords ohne Passphrase (dann maximal 8 Zeichen, oder?) ausreichend wäre, oder?

Ich meine auch mich erinnern zu können vor ein paar Jahren einige Artikel dazu gelesen zu haben, dass SSDs nicht ideal für eine dauerhafte Komplettverschlüsselung geeignet sind, da sie davon Schaden nehmen können. Weiß jemand ob das noch aktuell ist?
 
1) Kann es sein, dass das Supervisor-Password auch als Masterpasswort oder BIOS-Passwort bezeichnet wird?
2) Das Supervisor-Password brauche ich nur, um Änderungen am BIOS vorzunehmen inkl. dem Ändern des Power-On-Passwords, oder? D.h. ich kann es theoretisch aufschreiben und irgendwo hinlegen weil ich es im alltäglichen Gebrauch nicht nutzen muss?
3) Wenn ich ein Power-On-Password festlege, gibt es dann eine Möglichkeit beim Starten mit nur einem Passwort zum Desktop zu kommen auch wenn für das Windowsbenutzerkonto ein Passwort vergeben ist? (Ich gehe mal davon aus das nicht...)
1. ja, wobei bei ThinkPads das Masterpasswort meist auf das Master-HDD-Passwort bezogen ist
2. ja - nur nicht "irgendwo" deponieren, die meisten vergessen meist den Lagerort - es wird auch gebaucht, wenn die BIOS-Batterie leer ist oder abgezogen wurde, dann bleibt der Rechner beim Start beim "SVP" hängen, damit Datum und Uhrzeit gesetzt werden können
3. nein

BIOS-Passwirt setzen und "Lock BIOS-Settings" auf "enable"
HDD User-Passwort setzen
Power-On-Passwort ist nicht notwendig, da ohne HDD-Passwort eh nix geht.

Die SSDs sind inzwischen "serienreif" und mit aktueller Firmware bereiten sie auch keine Probleme mehr mit dem HDD-Passwort.
 
Zuletzt bearbeitet:
3) Wenn ich ein Power-On-Password festlege, gibt es dann eine Möglichkeit beim Starten mit nur einem Passwort zum Desktop zu kommen auch wenn für das Windowsbenutzerkonto ein Passwort vergeben ist? (Ich gehe mal davon aus das nicht...)

Oh doch, es geht sogar ganz ohne Passworteingabe, wenn man diese Fingerprint-Software unter WINDOWS 7 oder 8 benutzt. Dafür müssen WIN 7 oder 8 nicht mal aktiviert sein, man muss sie nur einmal auf einer leeren SSD plus der Fingerprint-Software kurz installieren, um die Fingerprints im BIOS zu speichern. Die bleiben dann dort erhalten, egal, was man später installiert...

Die Software speichert den Fingerprint des Power-On-Passworts und des SATA-Passworts im BIOS, wenn man beim Registrieren die richtigen Häkchen anklickt, und man kann mit einem Wisch den Rechner bis zum WINDOWS-Anmeldebildschirm durchstarten. Voraussetzung: Power-On-Passwort und des SATA-Passwort müssen identisch sein.

Wenn man auch die WINDOWS-Anmeldung anklickt, übernimmt der Start-Wisch nach dem BIOS-Passwörtern sogar die WINDOWS-Anmeldung für WIN 7 und WIN 8, nicht aber WIN 8.1 oder WIN 10. Trotzdem bleibt die BIOS-Registrierung erhalten, wenn man auf WIN 8.1 oder WIN 10 updatet, man kann dann immerhin bis zum WIN-Sperrbildschirm durchstarten und einfach noch mal wischen... ;)
 
Ich weiß nicht, ob ich gratulieren sollte, aber erwähnen wollte ich es:
think_pad Schnapszahl.PNG
 
BIOS-Passwirt setzen und "Lock BIOS-Settings" auf "enable"
HDD User-Passwort setzen
Power-On-Passwort ist nicht notwendig, da ohne HDD-Passwort eh nix geht.

Super, dass ist ein guter Tipp.

Die SSDs sind inzwischen "serienreif" und mit aktueller Firmware bereiten sie auch keine Probleme mehr mit dem HDD-Passwort.

Das ist gut zu wissen, mir ist nur gerade aufgefallen, dass ich da nen Denkfehler hatte. Nur weil ich das T430 dieses Jahr gekauft habe, ist die verbaute SSD ja trotzdem um die 4 Jahre alt ;) Hätte ich aber eh nicht geplant, da es für meine Zwecke denke ich übers Ziel hinaus schießt.

Sehe ich das richtig, dass wenn ich ein SATA-Passwort ohne Passphrase benutze das Passwort im Chip der SSD gespeichert wird und diese mit jedem Computer entsperrt werden kann, wenn man das Passwort kennt? Nur wenn ich die Passphrase benutze kann lediglich in einem baugleichen Modell entschlüsselt werden, da nur dort die gleiche Passphrase erzeugt und an die SSD übermittelt wird? (Das hat mit dem TPM nichts zu tun, oder?)
Also sprich Passphrase ist sicherer, da keine Beschränkung auf 8 Zeichen und damit schwieriger mit einem Brute-Force-Angriff zu knacken, dafür aber kritischer im Fall dass mal was anderes am Thinkpad ausfallen sollte? Da ich nicht glaube dass jemand so viel Aufwand betreiben würde, sollte aber die Variante ohne Passphrase für mich reichen.

@think_pad: Meins hat keinen Fingerprintreader verbaut. Ansonsten hört sich das aber nicht schlecht an, wenn auch mit etwas Aufwand verbunden.
 
Sehe ich das richtig, dass wenn ich ein SATA-Passwort ohne Passphrase benutze das Passwort im Chip der SSD gespeichert wird und diese mit jedem Computer entsperrt werden kann, wenn man das Passwort kennt? Nur wenn ich die Passphrase benutze kann lediglich in einem baugleichen Modell entschlüsselt werden, da nur dort die gleiche Passphrase erzeugt und an die SSD übermittelt wird? (Das hat mit dem TPM nichts zu tun, oder?)
Richtig - siehe Wiki-Artikel.

Aber:
Neue ThinkPad-Modelle (ich glaube, ab Generation T430) arbeiten aber nur noch mit Passphrase.
 
Ok, wollte nur sichergehen, dass ich das richtig verstanden hatte. Selbst wenn es nur mit Passphrase geht wäre es jetzt nicht so dramatisch, ich mache sowieso von allem wichtigen regelmäßig Backups oder es ist direkt extern gespeichert.

Eine ganz doofe Frage hab ich aber auch noch: Worin liegt eigentlich der Mehrwert die Platte mit Bitlocker oder was anderem zu verschlüsseln, wenn auch das Setzen eines SATA-Passworts mit Passphrase sie ohne das Passwort (mit auch über 8 Zeichen) unnutzbar macht?
 
Dieser Serien-/Gerätespezifische Salt im Passwort bei den Geräten aus den betroffenen Generationen bringt aus Sicherheitssicht sehr wenig (security by obscurity), da längst bekannt ist wie sich dieser zusammensetzt und es entsprechende Tools dafür gibt (die Moderation hat es aber nicht gern wenn man entsprechende Links postet).

Die Verwendung von Verschlüsselung auf Ebene des Betriebssystems (z. B. bitlocker) macht die Sache insoweit sicherer, als dass man sich sonst auf die Sicherheit der Verschlüsselung in der Firmware der HDD/SSD verlassen muss. Die allermeisten HDDs bieten hier keine Verschlüsselung (dann reicht ein Tausch des Controllers um an die Daten zu kommen), und bei zahlreichen SSDs ist die Implementierung der Verschlüsselung komplett unbrauchbar, weil der Master-Key nicht durch das gesetzte Passwort geschützt wird, siehe dazu auch:

https://vxlabs.com/2012/12/22/ssds-with-usable-built-in-hardware-based-full-disk-encryption/
 
Danke, das ist verständlich, den Artikel muss ich mir später mal durchlesen. Aber ich gehe jetzt einfach mal davon aus, dass meine Daten nicht so wertvoll sind, dass sich so ein Aufwand lohnen würde. Mir gehts ja hauptsächlich darum, dass jemand der das Ding mitgehenlassen würde nicht an sensible persönliche Daten kommt. Was nicht heißt dass ich an den anderen Thematiken nicht interessiert bin ;)
 
... Aber ich gehe jetzt einfach mal davon aus, dass meine Daten nicht so wertvoll sind, dass sich so ein Aufwand lohnen würde...
das sollte nicht der Ansatz sein. Ich verschlüssel alles, weil es geht. Ich lasse ja auch nicht mein Safe offen stehen oder meine Gehaltsabrechnungen offen liegen.
Du schützt damit deine persönlichen Dinge, Erinnerungen, Geheimnisse...
Eine Verschlüsselung der Platte kostet dich nur ein wenig Zeit beim hochfahren, evtl. ein oder zwei Passworteingaben...das sollte zu verschmerzen sein.
 
Die allermeisten HDDs bieten hier keine Verschlüsselung (dann reicht ein Tausch des Controllers um an die Daten zu kommen), ...
Und das ist Unfug.
Auf der Platine sitzt nur ein Chip mit einem rudimentären (HDD-)Bootprogramm, das den Spindelmotor startet und die Leseköpfe von Parkposition in die initiale Leseposition schwenkt. Dort liegt die eigentliche Firmware der HDD (auf den Plattern der HDD), die eingelesen und gestartet wird , und erst die nimmt überhaupt ATA-Befehle entgegen. Auch das Passwort wird auf den Plattern gespeichert, in einem Bereich, zu dem die Firmware über das ATA-Interface keinen externen Zugang gewährt. Des weiteren liegen in diesem, nur der Firmware zugänglichen Bereich Konfigurationsparameter des Herstellers für die Firmware, (für jede Platte individuelle) Kalibrierungsdaten, die Seriennummer,.. etc. der HDD, die Tabelle(n)* der defekten Sektoren, und die S.M.A.R.T.-Werte. Vom verbleibenden Platz knapst sich die Firmware noch ihr Provisioning, die Reservesektoren, ab. Und nur der Rest steht dem Anwender als Datenspeicher zur Verfügung.

(*) https://www.dataclinic.co.uk/hard-drive-defects-table/

Wenn das so einfach wäre, daß man mit einem bloßen Tausch der Platine an die Daten kommt, wären Kroll Ontrack & Co ihr Geschäft mit unbekannten Passworten los.
Die HDDGuru-KB ist dazu eine gute Quelle.
 
Zuletzt bearbeitet:
  • ok1.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen
Zurück
Oben