Empfehlung für Passwörter im BIOS gesucht

Spargel

New member
Themenstarter
Registriert
15 Sep. 2011
Beiträge
240
Hallo zusammen,

bei einem Mobilrechner ist das Thema Daten- und Diebstahlschutz ja recht wichtig. Deshalb habe ich mich mit den verschiedenen Passwortoptionen auseinandergesetzt. Aus den vielen Sachen, die ich bisher dazu gelesen habe, bin ich allerdings noch nicht ganz schlau geworden, vor allem, weil es beim ThinkPad etwas anders zu sein scheint als bei anderen Rechnern. Es geht konkret um mein X61 Tablet.

Es gibt ja drei Passwörter im BIOS: Supervisor, Power-On und HDD.

- HDD-PW habe ich keines, um Probleme zu vermeiden, falls ich die Platte mal in einem anderen Rechner auslesen muss, evtl. auch an einem USB-Anschluss. Außerdem gab es bereits Berichte von nicht mehr ansprechbaren Datenträgern mit gesetztem PW, obwohl dieses dem Nutzer bekannt war. Das ist mir alles zu buggy. Besteht aber stattdessen das Risiko, dass durch einen Fehler im System bei nicht gesetztem HDD-Passwort ein zufälliges geschrieben wird und ich dadurch dennoch den Zugriff verliere? Wie ließe sich die ganze HDD-PW-Problematik im Keim ersticken? (Zum Schutz meiner Daten nutze ich ohnehin eine TrueCrypt-Komplettverschlüsselung, deshalb interessieren mich andere Mechanismen nicht im Sinne der Nutzung, sondern nur insofern, mich vor deren Fehlfunktion zu schützen.)

- Bisher war ich davon ausgegangen, dass ein Power-On-PW "sicherer" ist als ein Supervisor-PW, da es nicht nur den BIOS-Zugriff, sondern auch den Rechnerstart als solchen unterbindet. Ins BIOS kommt so natürlich auch niemand. Ist das so, oder muss ich zusätzlich zum Power-On-PW noch ein Supervisor-PW setzen? Von Desktop-Rechnern kenne ich es so, dass beim Herausnehmen der BIOS-Batterie die Passwörter gelöscht werden. Das reduziert natürlich die Sicherheit und hält allenfalls Leute ab, die überhaupt keine Ahnung haben. Nun scheint das beim ThinkPad nicht so zu sein, denn es gab hier schon oft das Thema, dass nach einem altersbedingten Ausfall der BIOS-Batterie die rechtmäßigen Nutzer aus dem System ausgesperrt waren. Heißt das, dass ich das Gerät wegwerfen kann, wenn ich ein BIOS-Passwort (Power-On und/oder Supervisor) gesetzt habe und dann irgendwann die Batterie den Geist aufgibt?

- Und zu guter Letzt kommt noch der TPM-Chip ins Spiel. Was hat der bei der ganzen Geschichte zu sagen? Wofür ist er überhaupt da? Brauche ich spezielle Software, um die Funktionalität zu nutzen, oder geschieht das automatisch im Hintergrund? Geht nichts mehr, wenn der Chip kaputt geht?

Ich hoffe, dass einigermaßen klar wurde, worauf ich hinaus will, und dass mir jemand profunde Auskunft dazu geben kann. :)

Grüße,
Thomas

Edit by Mornsgrans:
Threadtitel der Fragestellung angepasst
 
Zuletzt bearbeitet von einem Moderator:
Das Ergebnis sieht man dann, wenn jemandem ein Gerät geklaut wurde und anschließend die Konten leergeräumt werden. Oder wenn jemandem bei der Zollkontrolle ein Trojaner untergejubelt wurde. Oder wenn private Daten und Fotos im Netz erscheinen, die man dort nicht sehen wollte. Wie viele Beispiele braucht man eigentlich noch, um endlich aufzuwachen?
für den ersten fall: man kann wichtige daten (und dazu gehören kontodaten nunmal) auch in einem container mit truecrypt sichern. aber auch andere daten, die man sicher haben will, gehören mit einem programm deiner wahl gesichert.

für den zweiten fall: bei einer zollkontrolle sich einen trojaner einfangen kann nur einer, der vorher soviel mist gebaut hat, dass ein richter mit einem durchsuchungsbeschluss dies legitimisiert hat. (über die fehler in dem bundestrojaner brauchen wir nicht diskutieren, der geht so gar nicht!)

zu 3: diese daten hat man dann irgendwann irgendwem gegeben aus unterschiedlichen gründen, z.b. weil man geglaubt hat, dass man ihm trauen kann oder ähnliches. oder man hat selbst einen fehler bei fazebock gemacht (oder wie dies dingens heißt...) und die haken an der falschen seite gemacht.

zu 4: wenn es leute gibt, die mehr als 2 jahre hier in diesem gemeinwesen untertauchen können und nicht von den behörden eingefangen werden können, kann der überwachungsstaat noch nicht so perfekt sein, wie manche befürchten.
trotzdem kann man sich wehren, denn wir sind das volk (hat vor 20 jahren mal eine kleine gruppe von kanpp über 200.000 leuten gerufen und dieser aufruf hat den bisher allmächtigen stasistaat ausgehebelt). und wehret den anfängen (also geht wählen!)

gruß in't huus

gatasa
 
Bevor ich mir jedes Mal Gedanken mache, welche Daten verschlüsselt gehören und welche nicht und sie dann aus Bequemlichkeit oder Vergesslichkeit nicht verschlüssle, verschlüssle ich lieber die gesamte Festplatte. Da gebe ich beim Systemstart das Passwort ein und fertig, und wenn irgendwas passiert, kann ich beruhigt sein, dass keiner an die Daten ran kommt. Das ist geringster Aufwand mit größtem Nutzen.

Kann eigentlich jemand eine Festplatte, deren ATA-Passwort gesetzt ist, ohne Eingabe des Passworts formatieren? Mir geht es jetzt nicht um "Hardcore"-Schutz, sondern nur darum, ob jemand sich einen Scherz erlauben, die Festplatte ausbauen und an einem anderen PC formatieren könnte. Direkt im Rechner formatieren geht ja nicht, da derjenige zum Systemstart das Passwort kennen müsste, und ein fremdes System vom USB-Stick geht aufgrund falscher und vor Änderung geschützter Bootreihenfolge auch nicht.

Grüße,
Thomas
 
Kann eigentlich jemand eine Festplatte, deren ATA-Passwort gesetzt ist, ohne Eingabe des Passworts formatieren? Mir geht es jetzt nicht um "Hardcore"-Schutz, sondern nur darum, ob jemand sich einen Scherz erlauben, die Festplatte ausbauen und an einem anderen PC formatieren könnte.
Thomas

das bezweifel ich, denn ohne die Eingabe des HDD Kennworts welches in einem Flash Speicher auf dem internen Controller der Festplatte sitzt ist es nicht Möglich die Befehle in Irgendeiner Form an die Festplatte zu senden.

Ein HDD Kennwort ist meiner Meinung nach als ziemlich sicher einzustufen, solang man kein Terrorist ist, wird sich niemand den Aufwand machen dieses zu knacken.
 
Ohne Festplattenpasswort kein Zugriff auf die HDD - sie existiert dann nicht für das System.
 
Gut, danke für die Info.

Jetzt wollte ich endlich das Passwort setzen, und nun stehe ich vor der Frage, ob nur User- oder auch Adminpasswort. Was ist denn da nun wieder der Unterschied?
 
Ohne Adminpasswort kannst Du das Userpasswort durch abklemmen der BIOS-Batterie deaktivieren. Es macht also nur Sinn in Verbindung mit einem anderslautendem Adminpasswort.
 
Was ist eigentlich das konkrete Problem von HD-Passwörtern im Zusammenhang mit SSDs? Bei mir läuft alles ganz hervorragend...
 
Was hat denn das HDD-Passwort mit der BIOS-Batterie zu tun? Das würde ja bedeuten, dass auch ein Ausbau der Festplatte/SSD das User-Passwort der Festplatte löschen würde, oder nicht?
 
Ich habe das Userpasswort im Beitrag oben nicht als HDD-Passwort verstanden, sondern als Poweron Passwort.
 
Warum müsst ihr immer irgendwelche Passwörter setzen, so senible Daten auf der Platte?

Nobby
 
Nein, das ist ja geklärt. Es geht um das Hard Disk Passwort. Da habe ich die Möglichkeit, nur ein User-PW oder ein User-PW und ein Admin-PW zu setzen. Mir ist nicht klar, was das bedeutet.
 
Nein, das ist ja geklärt. Es geht um das Hard Disk Passwort. Da habe ich die Möglichkeit, nur ein User-PW oder ein User-PW und ein Admin-PW zu setzen. Mir ist nicht klar, was das bedeutet.
Nicht ganz richtig:
- Userpasswort
- User- plus Masterpasswort
- Adminpasswort heißt im BIOS Supervisorpasswort

Ein vergessenes Userpasswort macht eine HDD unbrauchbar, wenn es alleine gesetzt ist. Sind User- und Masterpasswort gesetzt, kann man mit dem Masterpasswort das Userpasswort herausnehmen und ändern, wenn es vergessen wurde - ist fast wie PIN/PUK beim Handy ;)
 
kann ja einfach sein , dass beim verlassen des standby das bios beim aufwecken der hd diese auch wieder entsperrt ohne erneut den user mit der eingabe des eigentlichen passworts zu behelligen. der schlüssel selbst ist ja in der hand des bios bei dem man sich ja beim start schon erfolgreich authentifiziert hat.

C:\Windows\system32>hdparm -I hda

hda:


ATA device, with non-removable media
Model Number: ST95005620AS
Serial Number: 5YX1P4T0
Firmware Revision: SD24
...
Security:
Master password revision code = 16385
supported
enabled
not locked
frozen
not expired: security count
supported: enhanced erase
Security level high
102min for SECURITY ERASE UNIT. 102min for ENHANCED SECURITY ERASE UNIT.
Checksum: correct


C:\Windows\system32>

W520, Win7 nach standby, aktives HDP
 
Zuletzt bearbeitet:
  • ok1.de
  • thinkstore24.de
  • ok2.de - Notebook Computer Server
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben