Empfehlung für Passwörter im BIOS gesucht

[Spargel]

Hallo zusammen,

bei einem Mobilrechner ist das Thema Daten- und Diebstahlschutz ja recht wichtig. Deshalb habe ich mich mit den verschiedenen Passwortoptionen auseinandergesetzt. Aus den vielen Sachen, die ich bisher dazu gelesen habe, bin ich allerdings noch nicht ganz schlau geworden, vor allem, weil es beim ThinkPad etwas anders zu sein scheint als bei anderen Rechnern. Es geht konkret um mein X61 Tablet.

Es gibt ja drei Passwörter im BIOS: Supervisor, Power-On und HDD.

- HDD-PW habe ich keines, um Probleme zu vermeiden, falls ich die Platte mal in einem anderen Rechner auslesen muss, evtl. auch an einem USB-Anschluss. Außerdem gab es bereits Berichte von nicht mehr ansprechbaren Datenträgern mit gesetztem PW, obwohl dieses dem Nutzer bekannt war. Das ist mir alles zu buggy. Besteht aber stattdessen das Risiko, dass durch einen Fehler im System bei nicht gesetztem HDD-Passwort ein zufälliges geschrieben wird und ich dadurch dennoch den Zugriff verliere? Wie ließe sich die ganze HDD-PW-Problematik im Keim ersticken? (Zum Schutz meiner Daten nutze ich ohnehin eine TrueCrypt-Komplettverschlüsselung, deshalb interessieren mich andere Mechanismen nicht im Sinne der Nutzung, sondern nur insofern, mich vor deren Fehlfunktion zu schützen.)

- Bisher war ich davon ausgegangen, dass ein Power-On-PW "sicherer" ist als ein Supervisor-PW, da es nicht nur den BIOS-Zugriff, sondern auch den Rechnerstart als solchen unterbindet. Ins BIOS kommt so natürlich auch niemand. Ist das so, oder muss ich zusätzlich zum Power-On-PW noch ein Supervisor-PW setzen? Von Desktop-Rechnern kenne ich es so, dass beim Herausnehmen der BIOS-Batterie die Passwörter gelöscht werden. Das reduziert natürlich die Sicherheit und hält allenfalls Leute ab, die überhaupt keine Ahnung haben. Nun scheint das beim ThinkPad nicht so zu sein, denn es gab hier schon oft das Thema, dass nach einem altersbedingten Ausfall der BIOS-Batterie die rechtmäßigen Nutzer aus dem System ausgesperrt waren. Heißt das, dass ich das Gerät wegwerfen kann, wenn ich ein BIOS-Passwort (Power-On und/oder Supervisor) gesetzt habe und dann irgendwann die Batterie den Geist aufgibt?

- Und zu guter Letzt kommt noch der TPM-Chip ins Spiel. Was hat der bei der ganzen Geschichte zu sagen? Wofür ist er überhaupt da? Brauche ich spezielle Software, um die Funktionalität zu nutzen, oder geschieht das automatisch im Hintergrund? Geht nichts mehr, wenn der Chip kaputt geht?

Ich hoffe, dass einigermaßen klar wurde, worauf ich hinaus will, und dass mir jemand profunde Auskunft dazu geben kann.

Grüße,
Thomas

Edit by Mornsgrans:
Threadtitel der Fragestellung angepasst

 

[Moskito]

Was das Harddisk-Passwort angeht, wenn keines gesetzt wird, dann ist keines gesetzt. Im normalen Betrieb hat das keine Auswirkungen. Jedoch kann bei einem Secure Erase dadurch ein Problem auftreten, denn um ein Secure Erase Kommando abzugeben muss ein HDP gesetzt sein. In diesem Falle setzt das Bios eines und gibt gleich danach das Secure Erase Kommando an die Festplatte. Im Ungünstigsten Fall kann bei einem Ausschalten des Computers im falschen Moment die HD unbrauchbar gemacht werden. Daher ist es sinnvoll vor einem Secure Erase manuell ein Passwort zu setzen!
Ansonsten ist das HDP in deinem Fall (TrueCrypt) irrelevant.

PowerOn-Passwort und Supervisor-Passwort haben verschiedene Funktionen:
Das SVP dient dazu die Bios-Einstellungen vor Modifikationen zu schützen, das POP schützt den Rechner vor unerlaubtem Aufstarten.
Ein POP alleine zu setzen macht nur bedingt Sinn, da dieses eben durch trennen von der Backup-Batterie gelöscht werden kann. Normalerweise setzt man ein POP im Zusammenhang mit einem SVP, weil dann lässt sich dieses nicht löschen ohne dass man das SVP kennt. (Bei nicht mehr vorhandener Backup-Batterie verlangt das Thinkpad das SVP beim Aufstarten, ansonsten geht es nicht an.)

Es sollte dir aber klar sein, dass aber ein gesetztes SVP kein absoluter Schutz bietet. Einerseits kann einfach das Mainboard getauscht werden, andererseits ist es auch möglich die Bausteine in denen das Passwort gespeichert ist, auszulöten und auszulesen. Es erhöht zwar die Hürden für eventuelle Diebe, aber es ist kein 100% Schutz.
Zudem solltest du das TrueCrypt-Passwort bzw. HDP keinesfalls gleich wählen wie das SVP, da dieses eben mit Aufwand auch ausgelesen werden kann und sich dadurch die Sicherheit deiner Daten massiv verringern würde!

mfg Moskito

 

[Mornsgrans]

Titel angepasst und verschoben nach "Allgemeine Thinkpad Diskussion", da modellübergreifend

 

[Spargel]

Super, vielen Dank! Das sind genau die Informationen, die mir gefehlt hatten.

Bezüglich Sicherheit: Das ist mir bewusst. Es geht mir darum, nur weil ein Krimineller ein Fenster oder die Eingangstür aufbrechen könnte, nicht gleich die Tür sperrangelweit offen stehen zu lassen und ein "Tag der offenen Tür"-Schild draußen dran zu hängen. Mit PW-geschütztem Mainboard und ohne OS-Lizenzaufkleber bei gleichzeitig verschlüsseltem System sind schon mal einige Dinge von materiellem Wert bei unberechtigtem Zugriff wertlos, Daten sowieso.

Also wird das User-PW ohne Batterie gelöscht, das Supervisor-PW hingegen nicht. Dann sollte ich das schon allein deshalb setzen, dass nicht irgendein Spaßvogel mir unberechtigterweise eines setzen kann und mich aussperrt. Und das mit dem HDD-PW vor einem SecureErase werde ich mir hoffentlich merken, falls ich das mal machen muss (bisher noch nie). Gab es aber nicht mal Probleme mit gesetzten HDD-Passwörtern? Oder betraf das nur SSDs? Mir fehlt da irgendwie der Überblick.

Bliebe noch die Frage nach der Rolle des TPM-Chips.

Grüße,
Thomas

 

[EuleR60]

Gab es aber nicht mal Probleme mit gesetzten HDD-Passwörtern?

Es gab mal ein Problem, dass Fremde dir das Passwort setzen koennen.
http://www.heise.de/ct/artikel/Baerendienst-289866.html

 

[Mornsgrans]

Und es gab/gibt Probleme mit HDD-Passwörtern auf SSDs.

Man sollte mit der BIOS-Option "Use Passphrase" aber vorsichtig sein:
Ist diese Einstellung "enabled", sind lange Passwörter möglich. Eine derart geschütze Festplatte lässt sich dann nur auf einem Thinkpad, die "Passphrase" unterstützt, wieder entsperren.

 

[Moskito]

@EuleR60
Das trifft bei Thinkpads nicht zu. Die senden sehr zuverlässig gleich nach der Initialisierung (also vor dem Start des OS) ein Freeze Command an die Harddisk, sowohl an die interne wie auch an die im UltraBay. Dadurch kann kein neues Passwort gesetzt werden, bevor die Harddisk nicht vom Strom getrennt wurde.
Diese Probleme betrafen vor allem Desktop-Mainboards, da diese oft die Security-Features nicht implementiert hatten und teilweise immer noch nicht haben.

Was die Probleme mit dem HDP anbelangt, so beschränken sich diese auf die *20 Serien und auf SSDs von Fremdherstellern. (Keine Lenovo Komponenten.)
Ob da das Problem bei den SSDs oder bei Lenovo liegt, kann ich nicht sagen und ist meines Wissens auch nicht bekannt.

Was den TPM Chip anbelangt, da benutzt momentan nur die CSS von Lenovo diesen. Ansonsten gibt es andere Programme wie etwa Bitlocker die darauf zurückgreifen.

mfg Moskito

 

[Myon]

@EuleR60
Das trifft bei Thinkpads nicht zu. Die senden sehr zuverlässig gleich nach der Initialisierung (also vor dem Start des OS) ein Freeze Command an die Harddisk, sowohl an die interne wie auch an die im UltraBay. Dadurch kann kein neues Passwort gesetzt werden, bevor die Harddisk nicht vom Strom getrennt wurde.

Kann ich bei meinem Z61m leider nicht bestätigen. Gerade den von EuleR60 verlinkten Artikel gelesen, und nachgeguckt

#hdparm -I /dev/sda
ATA device, with non-removable media
        Model Number:       WDC WD5000BEKT-75KA9T0                  
        Serial Number:      ***
        Firmware Revision:  01.01A01
        Transport:          Serial, SATA 1.0a, SATA II Extensions, SATA Rev 2.5, SATA Rev 2.6
...
Security: 
        Master password revision code = 65534
                supported
        not     enabled
        not     locked
        not     frozen
        not     expired: security count
                supported: enhanced erase

Zitat Heise

Wenn es „not frozen“ ausgibt, ist Ihre Platte in Gefahr.

 

[Spargel]

@ EuleR60: Stimmt, dass war es, was mir vage in Erinnerung geblieben war.

@ Mornsgrans: Dann war das wohl so, Probleme mit HDD-PW und SSD. Ganz schön schwierig, den Schwierigkeiten ganz aus dem Weg zu gehen. Einmal muss man ein Passwort setzen, und ein anderes Mal darf man es nicht.

@ Moskito: Gut, da ich nicht BitLocker, sondern TrueCrypt einsetze, habe ich das "Problem" nicht.

@ Myon: Oh oh, das lässt nichts Gutes vermuten.

Ich habe in letzter Zeit so viel dazu gelesen, dass ich irgendwie den Überblick verloren habe. Schön, dass wir das hier nochmal ordnen können.

Mal angenommen, ich setze doch noch ein HDD-Passwort, muss ich das dann bei jedem Systemstart eingeben?

Grüße,
Thomas

 

[Moskito]

@Spargel
Ja, HDP muss bei jedem Start sowie bei Start von SuspendToDisk eingegeben werden, nicht jedoch beim Aufwecken vom StandBy.

@Myon
Ist da das aktuellste Bios installiert und war die HDD beim Start eingebaut bzw. im UltraBay?

mfg Moskito

 

[Myon]

Ich hatte 2.25 drauf. Gerade auf 2.27 (Sep 2009, das aktuellste) geupdatet. Wenn man das Z61m neu bootet sieht es zunächst ganz gut aus:

Security: 
        Master password revision code = 65534
                supported
        not     enabled
        not     locked
                frozen
        not     expired: security count
                supported: enhanced erase

Geht man aber dann in Standby über Fn+F3 so hat man nach dem Aufwachen wieder

Security: 
        Master password revision code = 65534
                supported
        not     enabled
        not     locked
        not     frozen
        not     expired: security count
                supported: enhanced erase

Es handelt sich übrigens um die Systemplatte (WD5000BEKT), UltraBay-Geräte habe ich aktuell keine angeschlossen.

 

[Moskito]

Interessant, dann dürfte es sich aber eher um ein Problem mit dem Standby zu handeln.
So wie es ausschaut, wird die Stromversorgung zur Festplatte im Standby komplett unterbrochen (nur so können die Security Einstellungen zurückgesetzt werden). Hättest du zusätzlich noch ein HDP eingestellt, dann hättest du ein Problem, weil du das eingeben müsstest um wieder Zugriff auf die Festplatte zu erhalten, aber das nach dem Standby nicht eingeben kannst.

Was ist denn das für ein Betriebsystem?

mfg Moskito

 

[Myon]

Was ist denn das für ein Betriebsystem?

Ubuntu 11.04 (Linux)

 

[Mornsgrans]

Interessant, dann dürfte es sich aber eher um ein Problem mit dem Standby zu handeln.
So wie es ausschaut, wird die Stromversorgung zur Festplatte im Standby komplett unterbrochen (nur so können die Security Einstellungen zurückgesetzt werden). Hättest du zusätzlich noch ein HDP eingestellt, dann hättest du ein Problem, weil du das eingeben müsstest um wieder Zugriff auf die Festplatte zu erhalten, aber das nach dem Standby nicht eingeben kannst.

Normalerweise sollte aus dem Standby kein HDD-Passwort abgefragt werden, wenn eins gesetzt ist.

 

[Moskito]

Normalerweise sollte aus dem Standby kein HDD-Passwort abgefragt werden, wenn eins gesetzt ist.

Deshalb hätte er ja ein Problem, dieser Fall ist meines Wissens nicht vorgesehen.
Dass das Security-Flag "Frozen" nach dem Standby zurückgesetzt wird, deutet darauf hin, dass die Festplatte komplett vom Strom getrennt wird, was wiederum bedeuten würde, dass für den Zugriff auf die Daten zuerst noch einmal das Passwort an die Festplatte gesendet werden müsste, was aber eben meines Wissens nicht vorgesehen ist.

@Myon
Ich muss zugeben, dass ich mich mit den konkreten Vorgängen beim ACPI S3 (Standby) zu wenig auskenne, aber ich gehe davon aus, dass hier der Fehler beim Betriebsystem liegt. (Beim ACPI ist das Betriebsystem viel stärker involviert, als beim vorherigen APM.)
Ich gehe davon aus, dass dies unter Windows nicht auftreten würde.
Interessieren täte mich, was wirlich passiert, wenn du ein HDP setzt, das Thinkpad in den Standby bringst und wieder startest. (Ich gehe davon aus, dass er nicht mehr aufwacht/abstürzt oder aber nicht mehr auf die Festplatte zugreifen kann.)
Wenn du Lust auf etwas experimentieren hast, kannst du das ja mal testweise versuchen und das Resultat hier berichten.

mfg Moskito

 

[Myon]

@Moskitio
Leider habe ich keine ungenutzte Platte, die ich dem Experiment opfern könnte. Du könntest das aber auch selbst ausprobieren: Ubuntu Live CD brennen, booten, Terminal öffnen, "sudo hdparm /dev/sda -I" eingeben, dann Standby über Fn+F3, dann nochmal denselben Befehl. Ich kenne mich zwar mit ACPI auch nicht sonderlich gut aus, aber das z.B. Linux die Festplatte vom Strom trennt, während Windows das nicht macht, halte ich für ein wenig unwahrscheinlich. In diesem Fall sollte ja das Thinkpad im Linux-Standby deutlich länger überleben als im Windows-Standby. Wenn schon, wird das wohl eher an den ACPI-Tabellen liegen (ist aber auch nur eine Vermutung meinerseits).

Ich habe nur gedacht, dass dass sich das "Freezen" der ATA-Verschlüsselung auf einer so tiefen Hardware-Ebene abspielt, dass hier das verwendete BS gar nicht hineinpfuschen kann. Anscheinend ist das doch nicht der Fall. Ob das grundsätzlich so sein muss oder nicht, kann ich natürlich nicht sagen.

Unter Windows konnte ich die Sache übrigens gar nicht testen, da WinAAM aus dem verlinkten Artikel die Festplatte nicht finden konnte. Im FAQ stand, dass dies immer dann der Fall ist, wenn ein alternativer (spricht nicht Standard-Microsoft) Treiber für den SATA-Controller verwendet wird. Dieser "andere" Treiber wurde aber von ThinkVantage System Update installiert.

 

[Esc]

Einige User denken, sie arbeiten für einen Geheimdienst ^^

 

[Nobby]

Einige User denken, sie arbeiten für einen Geheimdienst ^^

Ne, ganz falsch, das ist der Geheimdienst

Müssen die wichtige Daten auf ihren Festplatten haben.

Nobby

 

[Moskito]

Ich sehe nicht ganz, wieso man Datensicherheit ins Lächerliche ziehen muss. Insbesondere weil sich auch so schon viel zu wenig Leute darum kümmern.

mfg Moskito

 

[Spargel]

Das Ergebnis sieht man dann, wenn jemandem ein Gerät geklaut wurde und anschließend die Konten leergeräumt werden. Oder wenn jemandem bei der Zollkontrolle ein Trojaner untergejubelt wurde. Oder wenn private Daten und Fotos im Netz erscheinen, die man dort nicht sehen wollte. Wie viele Beispiele braucht man eigentlich noch, um endlich aufzuwachen?