Wie sinnvoll ist ein Power-on password?

C

cyberjonny

Active member
Registriert
22 Sep. 2007
Beiträge
9.669
Hi miteinander,

wie sinnvoll ist es denn, ein Power-on password zu setzen?
Sorgt das wirklich für "echte" zusätzliche Sicherheit?
Hat es Vorteile bzw. einen zusätzlichen Nutzen bei einer Vollverschlüsselung des Systems?

Ist mir irgendwie nicht so ganz klar... :confused:

Danke und Gruß,
Jonny
 
Wichtiger ist ein gesetztes SVP, da das Poweron Passwort flüchtig ist. Ist zudem ein HDD-Passwort gesetzt, benötigt man das Poweron-Passwort eigentlich nicht, man muss sogar zwei Passwörter beim Rechnerstart eingeben.

Es nützt dann etwas, wenn Du nach Entnahme der HDD den Rechner unbenutzbar machen willst, da das POP einen Rechnerstart mit einer anderen HDD verhindert und nach Ziehen der BIOS-Batterie zu Löschen des POP das SVP greift.
 
SVP ist klar.

Inwiefern ist das POP denn "flüchtig"? Reicht wirklich das Ziehen der BIOS-Batterie? Dann ist der Schutz durch das POP ja eher zu vernachlässigen...

Ein HDD-PW ist bei einem vollverschlüsselten System (egal ob Bitlocker, LUKS oder TrueCrypt/VeraCrypt) ohnehin unnötig (und unkomfortabel, da ein weiteres PW eingegeben werden muss) - oder mache ich da einen Denkfehler?

Somit taugt ein POP eigentlich nur, um einen Dieb kurzzeitig etwas zu "nerven"... bringt aber am Ende keine zusätzliche Sicherheit?

Die Daten sind aufgrund der Vollverschlüsselung ja so oder so geschützt.

Mein Fazit: SVP + Vollverschlüsselung ist völlig ausreichend. Mehr macht keinen Sinn. Oder liege ich da falsch?
 
cyberjonny schrieb:
Inwiefern ist das POP denn "flüchtig"? Reicht wirklich das Ziehen der BIOS-Batterie? Dann ist der Schutz durch das POP ja eher zu vernachlässigen...
Zum Vergrößern anklicken....
1. Nur im CMOS gespeichert
2. Ja
3. wie oben geschrieben, greift das SVP nach Abziehen der BIOS-Batterie ---> schwarzer Briefbeschwerer

Das POP kann in Verbindung mit dem SVP schon sinnvoll den Rechner blockieren, also auch nach Austausch der HDD.
cyberjonny schrieb:
Ein HDD-PW ist bei einem vollverschlüsselten System (egal ob Bitlocker, LUKS oder TrueCrypt/VeraCrypt) ohnehin unnötig (und unkomfortabel,
Zum Vergrößern anklicken....
Sicher, aber es gibt AFAIK auch HDD, die nach setzen des HDD-Passworts die Platte verschlüsseln.
 
Mornsgrans schrieb:
3. wie oben geschrieben, greift das SVP nach Abziehen der BIOS-Batterie ---> schwarzer Briefbeschwerer

Das POP kann in Verbindung mit dem SVP schon sinnvoll den Rechner blockieren, also auch nach Austausch der HDD.
Zum Vergrößern anklicken....
Ach, das habe ich nicht richtig verstanden. Somit "ärgert" man einen Dieb nicht nur etwas, sondern man macht das Notebook damit wirklich nutzlos, zumindest ohne größeren Aufwand/Know-How investieren zu müssen.

Sicher, aber es gibt AFAIK auch HDD, die nach setzen des HDD-Passworts die Platte verschlüsseln.
Zum Vergrößern anklicken....
Ja, das wären dann wohl die SEDs (Self-encrypting drives) - da bringt das HDD-PW dann natürlich was. In diesem Fall ersetzt es ja das Bitlocker-/LUKS-/*Crypt-Passwort der Software-Verschlüsselung.


Also muss man sich quasi entscheiden, ob man lieber ein zusätzliches PW (POP) eingibt, um einem evtl. Dieb seine Beute zu vermiesen, oder ob man nur ein PW eingibt und dafür etwas komfortabler unterwegs ist.

Weg wäre das Notebook am Ende wohl so oder so (ein Dieb würde den schwarzen Briefbeschwerer wohl kaum zurückbringen) und wirklich wichtig ist aus meiner Sicht in erster Linie, dass die Daten geschützt (= verschlüsselt) sind.
 
Mornsgrans schrieb:
Ist zudem ein HDD-Passwort gesetzt, benötigt man das Poweron-Passwort eigentlich nicht, man muss sogar zwei Passwörter beim Rechnerstart eingeben.
Zum Vergrößern anklicken....
Wenn Poweron- und HDD Passwort gleich sind, muss man es nur einmal eingeben. Zumindest ist das bei meinem T410s so.
 
jal2 schrieb:
Wenn Poweron- und HDD Passwort gleich sind, muss man es nur einmal eingeben. Zumindest ist das bei meinem T410s so.
Zum Vergrößern anklicken....

Ja, das mache ich bei allen Thinkpads PowerOn & HDD das gleiche / Supervisor ein anderes.

Zusätzlich inzwischen grundsätzlich Bitlocker, Truecrypt oder Luks mit einem ordentlichen Passwort.

Den Hardwarepasswörtern traue ich nicht unbegrenzt ...

29c3-5091-de-en-unsicherheit_hardwarebasierter_festplattenverschluesselung_h264.mp4

^^ grade mal wieder geschaut, man "vergisst" das doch immer wieder.

Beste Grüße

mcb

- - - Beitrag zusammengeführt - - -

Das Video gibt es z.B. hier:

https://ftp.uni-erlangen.de/cdn.media.ccc.de/congress/29c3/mp4-h264-HQ/
 
Ein HDD-PW ist bei einem vollverschlüsselten System (egal ob Bitlocker, LUKS oder TrueCrypt/VeraCrypt) ohnehin unnötig (und unkomfortabel, da ein weiteres PW eingegeben werden muss) - oder mache ich da einen Denkfehler?
Zum Vergrößern anklicken....
Denkfehler!
Ohne Windows-Login-Passwort oder HDD-Passwort, am besten gleichSVP, ist Vollverschlüsselung schlichtweg zwecklos, da bei Rechnerstart ohne Passworteingabe die HDD ja automatisch entschlüsselt wird.
Wird sie ausgebaut, kann sie an einem anderen Rechner nur mit Passwort entschlüsselt werden.
Nur warum sollte sich jemand die Mühe machen, das Ding auszubauen, wenn er den Rechner ohne ein Passwort starten kann und Vollzugriff hat?
 
@Pferdle: Ich glaube, du verstehst da etwas falsch bzw. wir reden aneinander vorbei.

Ich unterscheide zwischen dem HDD-Passwort (das man im BIOS setzt) und dem Passwort für das vollverschlüsselte System (das man im OS bzw. in der Software setzt).

Wenn man bei einer vollverschlüsselten HDD/SSD kein PW eingibt, wird sie auch nicht entschlüsselt, egal ob in oder außerhalb des Rechners. Das ist der Sinn der Vollverschlüsselung.

Und das SVP ist eine andere Baustelle, das hat damit erstmal gar nichts zu tun.
 
Nachdem mein letztes Handy geklaut wurde möchte ich das bei meinem aktuellen Handy nicht mehr missen. Andererseits bleibt es meist ein Monat an bis Updates eingespielt wird. Bei einem Rechner der mindestens einmal am Tag neu gestartet wird wäre es mir zu viel Arbeit.
 
Wenn man bei einer vollverschlüsselten HDD/SSD kein PW eingibt, wird sie auch nicht entschlüsselt, egal ob in oder außerhalb des Rechners. Das ist der Sinn der Vollverschlüsselung.
Zum Vergrößern anklicken....
Dann hast Du also ein Passwort. Ist ja praktisch wie ein HDD-Passwort, sogar noch besser. Ein HDD-Passwort im BIOS bringt dann nix mehr.

Zugriff auf BIOS hilft POP was, aber wie beschrieben, für den findigen Bastler (BIOS-Batterie) kein Hindernis. Ist eher was für dumme Diebe :thumbup:
Batterie kurz raus, vollverschlüsselte HDD ersetzen, und der neue Besitzer freut sich.
Aber auch bei HDD-Passort kann er einfach die HDD/SSD ersetzen und es geht lustig weiter.
Am Ende bringt nur SVP etwas. Da müßte sich auch eine SED-HDD/SSD mit verbinden lassen. Dann muß man nur einmal eingeben.
 
Nun, ein POP macht z.B. im Unternehmensbereich schon Sinn! Wenn beim Rechner etwa der Fremdzugriff auf die Bootoptionen verwehrt bleiben soll, der Nutzer diese jedoch auswählen darf, also um z.B. ein Livesystem zu starten. Gleichzeitig soll es aber keine HDD-Sperre/-PW geben und der BIOS-Zugriff aber nur auf den Systemadmin beschränkt bleiben und dem Nutzer verwehrt. In solchen Szenarien sind POPs durchaus sinnvoll.



Mornsgrans schrieb:
Sicher, aber es gibt AFAIK auch HDD, die nach setzen des HDD-Passworts die Platte verschlüsseln.
Zum Vergrößern anklicken....

cyberjonny schrieb:
Ja, das wären dann wohl die SEDs (Self-encrypting drives) - da bringt das HDD-PW dann natürlich was.
Zum Vergrößern anklicken....

Diese Self-encrypting drives verschlüsseln in der Regel die Platten NICHT NACH setzen des PWs sondern generell von Anfang an. Der Schlüssel ist schon ab Werk integriert, er ist nur nicht per PW abgesichert. Das passiert bei diesen Laufwerken dann bei Setzen des HDD-PWs, der Schlüssel für das bereits generell verschlüsselte Laufwerk wird mit einem PW (dem HDD-PW) gesichert.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben