Yoga260 Win10: Bitlocker aktivieren sinnvoll?

[thobben]

Guten Abend,

ich überlege auf meinem Thinkpad Bitlocker zu aktivieren (TPM 2.0 ist integriert).
Falls ich das Laptop mal verliere, will ich eine gewisse Sicherheit, dass meine Daten nicht abgezogen werden.

Ich möchte aber weiterhin beim Boot nur mein Windows-Passwort eingeben und nicht zusätzlich ein Bitlocker-Passwort oder eine Pin.
Macht das Sinn? Ist die Platte auch verschlüsselt, wenn das Windows-Anmeldepasswort nicht erraten werden kann?

Danke

 

[qwali]

Es gibt grade einen Angriff auf TPM bei dem Bitlocker ohne PIN umgangen werden kann. Ansonsten ist jede Verschlüsselung sinnvoll - gegen einen Gelegenheitsdieb hilft es alle Mal. Die Geschwindigkeitseinbußen sind minimal

 

[MRDS]

Hallo,
ganz unabhängig davon, dass es sicherlich Wege und Möglichkeiten gibt, Bitlocker zu umgehen, ist mein Ansinnen genau das Deinige gewesen.
Das Laufwerk wird automatisch entschlüsselt beim Start und nur das Windows Passwort ist nötig. Würde jmd die SSD in einen anderen Rechner oder per USB anderweitig anschließen, ist die Verschlüsselung aktiv, da mit meinem Laptop "verknüpft" (TPM vorausgesetzt). Aber wenn jmd den Laptop stiehlt, wäre nur die Windows-Authentifizierung auszuhebeln um an die Daten zu kommen. Daher wäre für größeren Schutz eine PIN doch empfehlenswert.

 

[der_ingo]

Macht das Sinn?

Ja, das ergibt Sinn. Ohne Wenn und Aber.

 

[cuco]

Ich halte eine Verschlüsselung ohne Passwort/PIN/... für wenig sinnvoll. Klar, besser als gar keine, aber man muss sich nicht wundern, wenn man eine Verschlüsselung dieser Art leicht umgehen kann. Relativ aktuelle News zeigen ja genau das, also wie man BitLocker ohne Passwort umgehen kann.

Sinnvoller wäre BitLocker *mit* Passwort oder PIN. Wenn man nicht doppelt Passwörter eintippen möchte (BitLocker + Windows-Kennwort), kann man auch eine automatische Anmeldung aktivieren. Dann tippt man sein BitLocker-Passwort ein und wird in Windows automatisch angemeldet. Das Windows-Passwort tippt man dann nur noch ein, wenn man den Rechner manuell gesperrt hat (Windows + L, Abmelden, Standby, o.ä.)

 

[thobben]

Ich habe es jetzt aktiviert. Hat Ohne Probleme funktioniert:

Datenträgervolumes, die mit BitLocker-Laufwerkverschlüsselung
geschützt werden können:
Volume "C:" []
[Betriebssystemvolume]

Größe: 475,73 GB
BitLocker-Version: 2.0
Konvertierungsstatus: Nur verwendeter Speicherplatz ist verschlüsselt
Verschlüsselt (Prozent): 100,0 %
Verschlüsselungsmethode: XTS-AES 128
Schutzstatus: Der Schutz ist aktiviert.
Sperrungsstatus: Entsperrt
ID-Feld: Unbekannt
Schlüsselschutzvorrichtungen:
TPM
Numerisches Kennwort

Allerdings erstmal ohne zusätzliche PIN/Passwort sondern mit normaler Windows-Anmeldung.

 

[der_ingo]

aber man muss sich nicht wundern, wenn man eine Verschlüsselung dieser Art leicht umgehen kann.

"Leicht" ist allerdings nun doch deutlich übertrieben. Das bedeutet schon einen gewissen Aufwand, um den Key zwischen TPM und System aus dem Bus auslesen zu können.
Dazu kommt, dass das bei jeder Hardware anders aussieht und bei einem Firmware-TPM gar nicht funktioniert.

Sinnvoller wäre BitLocker *mit* Passwort oder PIN. Wenn man nicht doppelt Passwörter eintippen möchte (BitLocker + Windows-Kennwort), kann man auch eine automatische Anmeldung aktivieren. Dann tippt man sein BitLocker-Passwort ein und wird in Windows automatisch angemeldet. Das Windows-Passwort tippt man dann nur noch ein, wenn man den Rechner manuell gesperrt hat (Windows + L, Abmelden, Standby, o.ä.)

Kommt drauf an, worum es geht: geht es darum, die Daten vor Dieben des Gerätes zu schützen, die einfach mal drauf schauen wollen, was da so liegt? Oder geht es darum, professionelle Angriffe auf diese Daten abzuwehren?
Ich würde ansonsten eher die Bottom Cover Tamper Protection anschalten. Wenn dann jemand das Ding aufmacht, um an der Hardware rumzuschnüffeln, bootet es erst gar nicht mehr in Windows.