Bios Password ja/nein
- Ersteller rrbs
- Erstellt am
silenthill
Active member
- Registriert
- 2 Aug. 2020
- Beiträge
- 106
Schon allein, um einem potentiellen Dieb das Leben schwer zu machen, haben *alle* meine Notebooks seit jeher sowohl ein BIOS/UEFI-Passwort als auch ein Einschalt-Passwort. Egal ob privates oder geschäftliches Gerät. Mag umständlich erscheinen aber irgendwie fühlt man sich ein klein wenig sicherer. 
- Registriert
- 30 Juli 2009
- Beiträge
- 5.638
Es gibt nur ein Risiko dabei, nämlich wenn man das Passwort vergisst
think_pad
Well-known member
- Registriert
- 20 Feb. 2014
- Beiträge
- 5.925
Dazu gehört dann auch noch das HDD- bzw. SSD-Passwort, damit der Datenträger geschützt ist. Wenn zwei der drei BIOS-Passwörter (nämlich Power-On und HDD) identisch sind, muss man es beim Start nur einmal eingeben.
Auf älteren Geräten wie dem W520 kann man provisorisch WINDOWS 7 und die Fingerprint-Software installieren und dort seine Fingerprints im BIOS hinterlassen. Wenn man später anstelle der WINDOWS 7-SSD eine SSD mit WINDOWS 10 oder 11 einbaut, kann man trotzdem das Gerät mit einem Fingerprint starten und muss die BIOS-Passwörter nicht per Hand eingeben, weil sie im BIOS per Fingerprint gespeichert sind. Der Rechner fährt also hoch und man braucht dann nur noch das aktuelle WINDOWS-Passwort, dass völlig unabhängig vom BIOS-Passwort existiert.
Wohl wahr ...Es gibt nur ein Risiko dabei, nämlich wenn man das Passwort vergisst
Ich verwende lieber LUKS oder Bitlocker.
SVP - immer, schon deswegen damit keiner im Bios was ändert, Festplatten - Passwort (user-Modus) wenn das Gerät potentiell das Haus verläßt,
sowohl bei Firmen-Thinkpads als auch bei denen ich besitze oder betreue; Passworte liegen in geschlossenem Briefumschlag im Safe in der Firma in der ich arbeite
sowohl bei Firmen-Thinkpads als auch bei denen ich besitze oder betreue; Passworte liegen in geschlossenem Briefumschlag im Safe in der Firma in der ich arbeite
Mr Micawber
Active member
- Registriert
- 29 Juli 2020
- Beiträge
- 227
Einige der modernen ThinkPads unterstützen passwortlose Anmeldung per FIDO-Hardware-Token (z.B. Yubikey) als Alternative zum Power-On Passwort. Im PSREF der jeweiligen Modelle steht im Abschnitt Security: FIDO (Fast Identity Online) authentication
(Hervorhebung von mir)
- Registriert
- 20 Apr. 2007
- Beiträge
- 72.238
Sagen wir mal so:
- Ein Passwort alleine bietet nicht unbedingt optimalen Schutz. Vielmehr ist es eine Kombination, um Rechner und Daten einigermaßen zu schützen. Nützlich ist dann auch, im BIOS nur die SSD als Bootgerät zuzulassen. Für andere Bootgeräte muss das BIOS-Passwort vorliegen.
- BIOS-Passwort mit "Lock BIOS Settings" verhindert Änderungen am Rechner selbst und macht ihn nahezu unverkäuflich. Man kann die SSD aber ausbauen, um an die Daten zu gelangen. Also muss der Datenträger selbst ebenfalls geschützt werden.
- Ein Boot-Passwort nützt nur, wenn ein BIOS-Passwort vergeben ist, die SSD kann aber in einem anderen Rechner oder mit USB-Adapter verwendet werden. Außerdem kann das Boot-Passwort durch abziehen der CMOS-Batterie gelöscht werden. Ein gesetztes BIOS-Passwort verhindert die weitere Nutzung des Rechners, bis dieses eingegeben wurde.
- HDD-Passwort ist ein vernünftiger Schutz, Nachteil: Bei einem Rechnerdefekt benötigt man einen nahezu baugleichen Rechner, in den die SSD eingebaut werden muss, um an die Daten zu gelangen bzw. die SSD zu entsperren. - USB-Adapter können hierzu i.d.R. nicht verwendet werden.
- Bitlocker verschlüsselt die Daten, bei Rechnerdefekt bzw. Umbau in einen anderen Rechner (auch via USB-Adapter) benötigt man lediglich/jedoch den Bitlocker-Wiederherstellungs-Key, um an die Daten zu gelangen. Diesen sollte man nicht nur dem Microsoft-Konto anvertrauen, da man einen zweiten Rechner plus Zugangsdaten zum Microsoftkonto benötigt, um an den Wiederherstellungskey zu gelangen. Ablegen des Wiederherstellungs-Keys auf dem Smartphone wäre eine Möglichkeit, wenn man viel unterwegs ist.
Zuletzt bearbeitet:
ebastler
Rather active member
- Registriert
- 29 Dez. 2018
- Beiträge
- 1.344
Mornsgrans hat es gut zusammengefasst. Grundsätzlich muss man sich bewusst sein - was will man vor wem schützen?
* Das Ziel ist Datensicherheit im Falle eines Diebstahls - in dem Fall ist ein BIOS PW komplett nutzlos. SSD ausbauen und auslesen geht immer. In dem Fall, full disk encryption - einfach und performant ist ein SSD PW im UEFI, aber da muss man drauf vertrauen dass der SSD Hersteller keinen Unfug getrieben hat. Manche SSDs sollen wohl sehr einfach zu knacken sein. Sicherer, aber auch weniger performant, wäre LUKS, Bitlocker (wenn man Microsoft vertrauen will ) oder Veracrypt.
* Das Ziel ist, dass der Dieb das Gerät nicht sinnvoll weiterverkaufen kann - da ist eine BIOS PW/Poweron PW Kombi super. Bei modernen Geräten meines Wissens nach (noch) nicht aushebelbar. Das Mainboard ist ohne das Passwort Toast, man kanns natürlich noch an Unwissende verkaufen und dann abtauchen, oder ausschlachten und Teile verscherbeln. Denke der durchschnittliche Dieb wirft das Gerät dann lieber weg.
* Das Ziel ist, das Notebook vor third party tampering zu schützen - da ist eine Kombi aus bottom tampering detector, UEFI PW und power on PW sinnvoll, um zu verhindern, dass jemand (einfach) hardware keylogger installieren kann während man nicht da ist, oder einen Bootloader zwischenschalten kann der Malware ins laufende System einschleust oder was auch immer. Wobei Hardware die in (nicht vertrauenswürdige) Fremde Hände gefallen ist so oder so als potentiell kompromittiert angesehen werden muss.
Mein persönliches Setup: UEFI + Power on PW, Bitlocker aktiv und auf HW encryption (nutzt die Kryptographie Engine der SSD) gestellt. Damit hab ich die Performance der SSD Kryptographie, aber den Backup Key bei Microsoft in der Cloud als Notfalllösung falls mein T14s abbrennen sollte und ich an meine Daten will. Damit hab ich aber auch den doppelten Angriffsvektor von Samsungs un-audited und potentiell schlechter Kryptographie, und dem Key angreifbar bei Microsoft. Ist am Ende alles ein Pro/Contra, das man an seine Bedürfnisse und Kompromissbereitschaft abstimmen muss.
Mein Ziel: Wenns jemand klaut soll er damit keine Freude haben, es nicht benutzen können und nicht an meine Daten kommen. Wenn das FBI meint sie wollen unbedingt meine Urlaubsbilder haben, dann von mir aus. Sollen sie die Backdoors von Samsung oder Microsoft halt nutzen. Auf dem Level ist mir das lieber als dass sie das Veracrypt PW aus mir herausprügeln ^^
* Das Ziel ist Datensicherheit im Falle eines Diebstahls - in dem Fall ist ein BIOS PW komplett nutzlos. SSD ausbauen und auslesen geht immer. In dem Fall, full disk encryption - einfach und performant ist ein SSD PW im UEFI, aber da muss man drauf vertrauen dass der SSD Hersteller keinen Unfug getrieben hat. Manche SSDs sollen wohl sehr einfach zu knacken sein. Sicherer, aber auch weniger performant, wäre LUKS, Bitlocker (wenn man Microsoft vertrauen will
) oder Veracrypt.* Das Ziel ist, dass der Dieb das Gerät nicht sinnvoll weiterverkaufen kann - da ist eine BIOS PW/Poweron PW Kombi super. Bei modernen Geräten meines Wissens nach (noch) nicht aushebelbar. Das Mainboard ist ohne das Passwort Toast, man kanns natürlich noch an Unwissende verkaufen und dann abtauchen, oder ausschlachten und Teile verscherbeln. Denke der durchschnittliche Dieb wirft das Gerät dann lieber weg.
* Das Ziel ist, das Notebook vor third party tampering zu schützen - da ist eine Kombi aus bottom tampering detector, UEFI PW und power on PW sinnvoll, um zu verhindern, dass jemand (einfach) hardware keylogger installieren kann während man nicht da ist, oder einen Bootloader zwischenschalten kann der Malware ins laufende System einschleust oder was auch immer. Wobei Hardware die in (nicht vertrauenswürdige) Fremde Hände gefallen ist so oder so als potentiell kompromittiert angesehen werden muss.
Mein persönliches Setup: UEFI + Power on PW, Bitlocker aktiv und auf HW encryption (nutzt die Kryptographie Engine der SSD) gestellt. Damit hab ich die Performance der SSD Kryptographie, aber den Backup Key bei Microsoft in der Cloud als Notfalllösung falls mein T14s abbrennen sollte und ich an meine Daten will. Damit hab ich aber auch den doppelten Angriffsvektor von Samsungs un-audited und potentiell schlechter Kryptographie, und dem Key angreifbar bei Microsoft. Ist am Ende alles ein Pro/Contra, das man an seine Bedürfnisse und Kompromissbereitschaft abstimmen muss.
Mein Ziel: Wenns jemand klaut soll er damit keine Freude haben, es nicht benutzen können und nicht an meine Daten kommen. Wenn das FBI meint sie wollen unbedingt meine Urlaubsbilder haben, dann von mir aus. Sollen sie die Backdoors von Samsung oder Microsoft halt nutzen. Auf dem Level ist mir das lieber als dass sie das Veracrypt PW aus mir herausprügeln ^^
Zumindest den Punkt halte ich aber auch für Sinnbefreit. Ja, ich kann dem Dieb das Geschäft versauen, aber es schreckt ihn ja auch nicht ab mein Gerät überhaupt erst zu klauen, weil er ja gar nicht weis, dass ich ein PW gesetzt habe (und seien wir mal ehrlich, wie viel Prozent der Otto Normal Durchschnitts Laptop Konsumenten setzt denn ein BIOS PW?).
Ravensberger
Well-known member
- Registriert
- 14 Jan. 2023
- Beiträge
- 428
Wenn ein Dieb eines meiner Thinkpads stehlen würde, wäre ich über den Verlust des technischen Gerätes betrübt und könnte mich auch nicht daran erfreuen, daß der Dieb das von mir sehr gepflegte Gerät wegwerfen muß. Das mag zur inneren Genugtuung beitragen, keine Ahnung. Entscheidend ist, wie die Geräte genutzt werden, und hier gilt es einfach, wirklich wichtige Daten zu verschlüsseln, wie auch immer.
Wer nutzt eigentlich alles "Whatsapp"? Wer ist eigentlich überall in der Lage, seine Geldgeschäfte zu tätigen, wer hat eigentlich immer und überall alle Paßwörter greifbar? Also erst die letzten Intimitäten ins www und Chatgruppen pusten, dann Banking auf dem Daddelfon. Ich glaube, wir haben ganz andere Probleme als ein Dieb, der sich C:\Windows anschauen kann...
Zur Frage: Meine privaten Thinkpads haben keine BIOS- Paßwörter. Das dienstliche Gerät hat ein Supervisor Password und mit mit McAfee vollverschlüsselt, hat alle McAfee Komponenten installiert, die der Hersteller entwickelt hat - und brauchte heute morgen zum Hochfahren auch nur schlappe vier Minuten.
Wer nutzt eigentlich alles "Whatsapp"? Wer ist eigentlich überall in der Lage, seine Geldgeschäfte zu tätigen, wer hat eigentlich immer und überall alle Paßwörter greifbar? Also erst die letzten Intimitäten ins www und Chatgruppen pusten, dann Banking auf dem Daddelfon. Ich glaube, wir haben ganz andere Probleme als ein Dieb, der sich C:\Windows anschauen kann...
Zur Frage: Meine privaten Thinkpads haben keine BIOS- Paßwörter. Das dienstliche Gerät hat ein Supervisor Password und mit mit McAfee vollverschlüsselt, hat alle McAfee Komponenten installiert, die der Hersteller entwickelt hat - und brauchte heute morgen zum Hochfahren auch nur schlappe vier Minuten.
Danke fuer die rege beteiligung.
also setze ich ein
und dann habe ich alles in sack und tueten.
Danke.
also setze ich ein
und dann habe ich alles in sack und tueten.
Danke.
Jein. Klar möchte keiner, dass sein Gerät überhaupt gestohlen wird. Aber wenn es schon gestohlen wird, soll es wenigstens möglichst unbrauchbar sein. Und wenn ausreichend oft geklaute Geräte unbrauchbar sind, dann spricht sich so etwas auch unter Dieben rum -> Dann werden Geräte ggf. auch seltener geklaut.
Aber ansonsten stimmt natürlich, wichtiger als das Power-on-Passwort ist, dass die Daten geschützt sind. Und da hilft ein HDD-Passwort im BIOS, besser ist aber eine "echte" Verschlüsselung mit BitLocker/eDrive/VeraCrypt unter Windows oder LUKS unter Linux.
BIOS Passwort bringt zumindest bezüglich Diebstahlsicherung ziemlich wenig. Die kann man alle umgehen bzw die Passwörter entfernen lassen gegen Gebühr und man findet solche Angebote auch Recht einfach wenn man sie explizit sucht. Leider! gut wenn man wirklich ein Pad in die Hände bekommt dass man legal erworben hat über überlassen wurde und nicht mehr weiß, schlecht als Diebstahlschutz.
Was ich mich frage, gibt es inzwischen richtige Micro GPS tracker in der Größe einer Knopfzelle oder minimal größer um sie im Inneren des Gehäuses anbringen und Orten zu können?
Was ich mich frage, gibt es inzwischen richtige Micro GPS tracker in der Größe einer Knopfzelle oder minimal größer um sie im Inneren des Gehäuses anbringen und Orten zu können?
ebastler
Rather active member
- Registriert
- 29 Dez. 2018
- Beiträge
- 1.344
Bei modernen Geräten auch noch? Mir war da nur bis Ivy/Haswell Zeiten bekannt dass das geht, vielleicht noch bei den Skylake/Kaby Lake/Coffee Lake, aber bei den neueren?
Apple Airtag oder vergleichbares Google Find My Device Netzwerk kompatibler Tracker.
Bis zum t590 weiß ich's definitiv und der ist nicht so alt. Will das Thema aber nicht weiter thematisieren weil's nicht gerne gesehen ist im Forum.
"Evil-Maid"-Angriff.
Da ist das oben Beschriebene leider bestenfalls Schlangenöl. Wer befürchtet, sich vor solchen Angriffen schützen zu müssen, sollte mindestens (auf technischer Seite) heads nutzen. Ganz abgesehen davon, dass die Technik in solchen Fällen wenig nutzt, wenn man kein klares OPSEC-Konzept hat (und das auch lebt).
Naja ich hatte zu Thinkpad 701cs Zeiten bei meinem ein HDD Password eingestellt. Die HDD liess auch in anderen PC's, Notebooks keinen Zugriff zu. Hat sich das jetzt zum negativen geaendert? ... Denn damals waere noch ne Verschluesselung quatsch gewesen.
