T14*/T15* NVMe Password vs. Bitlocker

[Rassupo]

Hallo, ich stehe vor der Entscheidung ob ich eher Bitlocker verwenden soll oder einfach ein NVMe Password.
Wobei ich das mit dem NVMe Password noch nicht so ganz verstanden habe vorallem ob ich die SSD dann noch auslesen kann wenn ich sie in einen anderen Rechner einbaue.

Etwas Internet suche hat ergeben dass das vergebene Passwort offenbar nicht direkt benutzt wird sondern da Hashes gebildet werden und auch die Seriennummer des Notebooks da noch mit einfliest mit dem Ergebnis dass die Daten dann selbst wenn man das Passwort weiß nicht in einem anderen Rechner auszulesen sind.

Bin auch darüber gestolpert

Lenovo ThinkPad HDD Password – Technology & Policy – Jethro Beekman

Jetzt gibt es bei den Thinkpads ja auch noch die Möglichkeit ein Doppelkennwort zu vergeben, siehe hier:

UEFI BIOS-Kennwörter des ThinkPad X1 Carbon 13th Gen (2025)

Erfahren Sie, wie Sie UEFI BIOS-Kennwörter des ThinkPad X1 Carbon 13th Gen (2025) setzen, ändern oder entfernen können.

download.lenovo.com

Ich verstehe es so bzw schätze dass das Administrator Kennwort es mir dann tatsächlich auch ermöglichen würden die SSD in anderen Rechnern zu entsperren.

Bin ich da korrekt in der Annahme und weiß jemand hier Näheres?

Die Frage bleibt halt was sollte man wählen, eigentlich gefällt mir der Ansatz durch ein NVMe Password einfach die SSD als solches zu sperren schon besser als Bitlocker wo eben nicht alles verschlüsselt wird.

Was sollte man wählen?

Ziel: Daten schützen vor Diebstahl des Laptops. SSD sollte sich im Fehlerfall des Laptops ausbauen lassen und in ein anderes Gerät setzen lassen um zumindest noch an die Daten ranzukommen. Sprich die SSD sollte nicht unwideruflich mit dem restlichen System "verheiratet" sein sodass nur noch in diesem System ein Auslesen der SSD möglich ist

Bitte kein Grundsatzdiskussionen oder weitere Dinge wie VeraCrypt ins Spiel bringen. Schutz vor staatlichen Behörden usw ist mir auch egal. Mir ist klar dass wenn die CIA vorbei kommt Bitlocker dann kein Hindernis ist für die
Das ist mir aber alles egal. Es geht mir um den einfachen Diebstahl zB im Urlaub etc.

 

[LungeeLuke]

Die Sache ohne Pin war schon LANGE bekannt.

Wenn ich es jetzt richtig überflogen habe, nutzt der PIN bei der aktuellsten "Lücke" ja auch nix, oder irre ich?

Bin bei Gott alles andere als ein Fan von MS Produkten, aber leider beruflich wegen einigen Programmen kommt man nicht so ganz einfach drum herum. Aber vieles was ich da gelesen habe an "Skandalen" entpuppte sich dann recht schnell doch als nichts weiter als einfach nur plumpe Stimmungsmache..

+1
Bashing und Clickbait zieht halt immer noch

Wenn du den RecoveryKey nicht hast dann biste selber Schuld. So sehe ich das. Man sollte die Dinge die man nutzt schon rudimentär verstehen...

Wieder +1

Ist das erste was nach dem encrypten im PW-Tresor landet und gegengeprüft wird.

Durch die ganze "Panikmache" in letzter Zeit, springen viele technisch nicht so versierte Leute auf den Zug auf und versuchen Dinge selbst zu bereitzustellen/hosten - man muss nur mal in andere Foren schauen - da sag ich dann ehrlich, Basics lernen oder Geld in die Hand nehmen und lieber hosten lassen, bevor man sich selbst ins Knie schießt...

 

[Rassupo]

Wenn ich es jetzt richtig überflogen habe, nutzt der PIN bei der aktuellsten "Lücke" ja auch nix, oder irre ich?

Mir ist bis dato nix bekannt. Mir waren die "Skandale" um das Auslesen des Keys beim Starten bekannt, wenn man kein Pin nutzt und die Sache dass nach irgendeinem Update plötzlich nach dem Recoveryschlüssel gefragt wurde. Das ist mein aktueller Stand zumindest. Bin aber sicher auch net allwissend vielleicht gibt es da noch was von Relevanz. Die genannten Dinge sind für mich halt ohne Relevanz.

 

[mac4tp]

Wenn man das Festplattenkennwort dreimal falsch eingibt, geht der Rechner aus. Da fragt niemand nach einem Masterpasswort.

Du bist sicher, das man mit dem Master-Passwort der Festplatte nicht weiter kommt? Muss ich mal irgendwann testen, denn bislang bin ich davon ausgegangen, das man nur eins der beiden Passwörter braucht.

 

[Ravensberger]

Du bist sicher, dass

Moin,
ich gebe hier meine Beobachtungen weiter. Getestet wurde, wie beschrieben, mit SATA-SSDs, ganz einfach, weil sich diese ohne Demontage des Gerätes austauschen lassen, was mit Einführung der NVME ja effektiv unterbunden wurde. Und ja, in meinen Szenarien half das Masterpasswort überhaupt nicht weiter. Vielleicht gibt es geheime, nirgends findbar dokumentierte Tastenkombinationen, die das die Nutzung eines Masterkennwort im Bedarfsfall zugänglich machen, keine Ahnung.

Zum weiter oben genannten Link, über Tool zum einfachen Anschließen einer Platte via Adapter an USB und schwups setzt das Tool das Passwort zurück, habe ich einige Fragezeichen. Es gibt schlichtweg kein /dev/sda, da der externe Adapter den Controller der Festplatte mit Passwort nicht ansprechen kann. Ich glaube dem Autor gerne, dass er etwas hübsches gebastelt hat, ohne grundlegende Informationen, welche Hardware er genau in welchem Szenario verendet hat, kommen wir aber nicht weiter.

Meine NVME Geräte werde ich für weitere Versuche aber nicht zerlegen. Wenn mit aktueller Hardware getestet werden soll, können andere gerne übernehmen.

 

[Rassupo]

Ich werds mal testen wenn ich die Zeit dazu finde. Aber kann leider nur mit Thinkpads dienen. Hab noch nen M910 aber der ist fleißig.

Spannend wäre sicherlich noch Dell weil die ebenfalls etwas mit diesen NVMe Passwörtern machen, habe ich aber net

 

[Ravensberger]

Moin,

ich habe es gefunden!
Wenn man zur Passworteingabe F1 drückt erscheint ein kleines Männchen neben dem Schloßsymbol. Das soll wohl den Admin darstellen.
Hier zieht das Adminkennwort für die Festplatte, und die Platte wird freigegeben.

Herausgefunden durch ausprobieren.

 

[Rassupo]

Hier zieht das Adminkennwort für die Festplatte, und die Platte wird freigegeben.

Ok, aber ohne dass die SSD vorher komplett gelöscht wird ? Also wird einfach entsperrt kein zurücksetzen auf Werkzustand und alle Daten weg?

edit: Zumindest in hdparm scheint es eine Option zu geben ob man an die Daten nur mit dem User passwort ran kommt oder auch mit dem Admin passwort. Sprich es gibt die Optionen der Admin kann die SSD entsperren oder er kann sie nur entsperren sie löscht sich vorher aber komplett.
Da es die Option bei Lenovo nicht gibt schein das sicher "hardcorded" zu sein. Wenn sie das mal heimlich irgendwann ändern in der Firmware/Bios könnte sich das Verhalten ändern. Daher ist es wohl immer gut dass User Passwort nie zu verlieren.

 

[Ravensberger]

Ok, aber ohne dass die SSD vorher komplett gelöscht wird ?

Ja sicher. Im Grunde vergibst Du zwei Passwörter, von denen Du immer auch das Adminkennwort verwenden kannst - was für Admins ja auch zielführend ist. Gelöscht wird hierdurch gar nichts. Erst wenn im BIOS das Adminkennwort entfernt wird, wird auch das User- Kennwort entfernt. Soweit alles ganz logisch, nur leider nirgends nachzulesen.

 

[Rassupo]

Moin,

ich habe es gefunden!
Wenn man zur Passworteingabe F1 drückt erscheint ein kleines Männchen neben dem Schloßsymbol. Das soll wohl den Admin darstellen.
Hier zieht das Adminkennwort für die Festplatte, und die Platte wird freigegeben.

Herausgefunden durch ausprobieren.

Hab das gestern auch in dem Manual des T480 gefunden. Ist da erwähnt.

Mit einem SSD Tausch bei gesetztem NVMe/HDD Passwort war ich allerdings nicht erfolgreich.

Benutzt habe ich eine OEM NVMe die bei meinem T14 Gen2 dabei war, ich vermute mal serienmäßig (hab die Kiste nicht brandneu gekauft). SKhynix irgendwas. OPAL2.0 steht meine ich auch drauf, sollte aber für die Sache mit dem Passwort hier nicht relevant sein vermute ich mal.


Test1:

SSD in das T480 eingebaut, als user_pw und admin_pw "Test" und "TestTest" vergeben.
Die SSD in das T14 Gen2 eingebaut. Der Eintrag im UEFI "NVMe1 Password" ist seit dem Einbau der SSD verschwunden. Der Rechner kann/will davon auch nicht booten. Er wird aber auch gar nicht nach einem Password gefragt an keiner Stelle.
Dann mit F12 in de Menü gegangen um alles löschen zu können. Dort bietet er mir an die SSD komplett zu löschen. Verlangt dort dann erstmalig nach dem Master bzw Admin Passwort bevor er anfängt. Ich tippe das korrekte Passwort ein er sagt dass es falsch ist. Auch das User Passwort nimmt er nicht.

Test2:
SSD in das T14 Gen2 eingebaut, dort pw gesetzt, die selben wie schon bei Test1. Dann die SSD in das T480 eingebaut. Dort im Grunde das gleiche Verhalten wie vorher auch, der Eintrag im Bios/UEFI für das HDD Passwort ist verschwunden, die SSD wird zwar erkannt, starten kann man davon aber nicht.


Das T480 hat so wie ich das sehe schon ein UEFI wenn gleich es vom Styl her mehr wie ein BIOS ausschaut. Das T14 Gen2 ist neuer.


Da ich noch jeweils ein weiteres T480 und T14 Gen2 und ein X1 Gen9 habe könnte ich da noch mehr testen wenn ich Zeit und Lust finde. Leider bislang nicht das Ergebnis was ich mir erwünscht habe. Die T14 Gen2 und X1 Gen9 haben aber scheinbar das gleiche/ähnliches UEFI, zumindest von der Oberfläche.

Nur will ich die SSD ja einfach mitnehmen/tauschen können.
Also dass man die SSD immer in neueres Model mitnehmen kann kann ich demnach nicht bestätigen.

 

[Mornsgrans]

Jetzt wäre es interessant, ob das NVMe-Passwort aus dem T480 in einem zweiten T480 funktionieren würde.
Ich möchte jedoch nicht ausschließen, dass das Problem, dass das NVMe-Passwort nur zusammen mit dem Sicherheits-Chip (TPM) funktioniert und bei Tausch in einen anderen Rechner nicht, weil dort ja ein anderer Sicherheitschip verbaut ist.

Du kannst ja mal versuchen, was passiert, wenn ein NVMe-Passwort gesetzt ist, die SSD ausbaust und danach die Passwörter in Sicherheitschip löschst (Security - Securuty-Chip - Clear Security-Chip). Danach NVMe-SSD einbauen und versuchen, davon zu starten.

 

[Rassupo]

Also T14 Gen2 zu X1 Gen9 werde ich noch testen. Und T14 Gen2 nach T14 Gen2 bzw T480 nach T480.
Wenn da aber wirklich raus kommt dass die es an das Gerät koppeln werde ich wohl Bitlocker nutzen müssen.

Mal ein bisschen gelesen.
Könnte durchaus doch was mit OPAL zu tun haben. ggf wird der Key doch im TPM abgelegt und das UEFI in den Thinkpads unterscheidet was es macht je nachdem ob eine angeschlossene SSD OPAL unterstützt oder nicht. Sprich unter "NVMe Passwort" sich technisch nicht immer das gleich verbirgt und von der SSD abhängig ist.
An einigen Stelle auch gelesen dass das NVMe Passwort das OPAL Passwort ist (sofern die SSD OPAL kann)

Könnte auch sein dass das T480 noch kein OPAL2.0 nutzt und das T14 Gen2 schon und es deswegen nicht kompatibel ist..Man findet aber auch viele Postings im Netz die sagen dass die SSD generell nur in dem Gerät entsperrt werden kann indem dass pw gesetzt wurde...

 

[Mornsgrans]

Laut Wiki kann das T480 nur "OPAL" - damit hätten wir möglicherweise den Grund gefunden.

Aber da sollte noch einer, der mehr Ahnung von diesen technischen Details hat, drüberschauen und mich ggf korrigieren.

Zu Bitlocker:
Da der Bitlocker-Schlüssel in der Windows Standardeinstellung im TPM abgelegt wird, fragt es beim Einbau in einen anderen Rechner den Bitlocker Wiederherstellungsschlüssel beim ersten Start ab. Diesen musst Du also bereithalten.

 

[Rassupo]

fragt es beim Einbau in einen anderen Rechner den Bitlocker Wiederherstellungsschlüssel beim ersten Start ab. Diesen musst Du also bereithalten.

Ja das ist klar. Aber mit der Eingabe des Keys ist es dann halt das gewesen, damit kann man leben
Den sollte man sowieso dann auch immer auf dem Handy irgendwie dabei haben. Wobei Bitlocker aktuell nur mein Plan B wäre.

Aber da sollte noch einer, der mehr Ahnung von diesen technischen Details hat, drüberschauen und mich ggf korrigieren.

Stochere da ja selber im Nebel grad
Wenn jemand fit in dem Thema ist immer her mit Infos.

Beitrag automatisch zusammengeführt: 23 Mai 2026

So mit einem Passwort gesetzt von einem T14 Gen2 und SSD eingebaut in ein X1 Gen9 hatte ich nun Erfolg.
Wird ganz normal nach dem pw gefragt und auch im UEFI sieht alles korrekt aus.

Woran es liegt kann ich aber net sagen. Ob es mit OPAL2.0 zu tun hat oder Lenovo da am UEFI einfach vielleicht ne Reihe von Dingen geändert hat dass es mit den alten Geräten nicht mehr kompatibel war. Andere SSDs werde ich jetzt nicht noch testen, habe auch nur OPAL2.0 hier. Vom optischen Aufbau des UEFI sind X1 Gen9 und T14 Gen2 auch sehr identisch. Ich glaube da ist sogar bei meinen Geräten die selbe CPU drin..

Denke der Test T14 nach T14 erübrigt sich dadruch.

 

[mac4tp]

Jetzt wäre es interessant, ob das NVMe-Passwort aus dem T480 in einem zweiten T480 funktionieren würde.
Ich möchte jedoch nicht ausschließen, dass das Problem, dass das NVMe-Passwort nur zusammen mit dem Sicherheits-Chip (TPM) funktioniert und bei Tausch in einen anderen Rechner nicht, weil dort ja ein anderer Sicherheitschip verbaut ist.

ich kann sicher sagen, dass es zwischen T480 und auch T470/T480 funktioniert, ebenso zwischen X200, X201 und X230, sowie T410, T430 und T440p (und auch den ganzen T60- und X60-Serien).

Sind nun aber alles ältere Rechner, es kann also gut sein, dass es da irgendwann Änderungen gegeben hat, wodurch das nicht mehr kompatibel war.

 

[Rassupo]

Der Vollständigkeit wegen habe ich auch nochmal den umgekehrten Weg getestet vom X1 Gen9 zurück in den T14 Gen2 mit einer anderen NVMe (Samsung 980 Pro). Funktioniert ebenfalls.
Also dass es nur mit der mitgelieferten OEM NVMe geht kann ich so auch ausschließen.

Dann nochmal ne Intel P1600x reingebaut weil diese afaik kein OPAL 2.0 hat, da ist der Eintrag von vornehin nicht im UEFI vorhanden. Weiß aber auch nicht ob diese SSD überhaupt ein Passwort unterstützt.
Hatte eigentlich gehofft ich kann hier eines setzen und dann nochmal im T480 schauen was dann passiert.
Könnte mir vorstellen dass wenn man keine OPAL2.0 SSD benutzt es dann durchauch auch zwischen T480 und X1 Gen9/T14G2 klappen könnte, ist aber pure Vermutung.
Könnte auch sein dass im X1 Gen9 und T14 G2 die Option überhaupt nur dann auftaucht wenn man eine OPAL2.0 SSD eingebaut hat.

Im Manual steht aber lediglich folgendes:

Anmerkungen: Das NVMe-Kennwort ist in folgenden Situationen nicht verfügbar:
• Ein Opal-kompatibles Trusted Computing Group (TCG)-Speicherlaufwerk und eine TCG Opal-
Verwaltungssoftware wurden auf Ihrem Computer installiert und die TCG Opal-Verwaltungssoftware ist
aktiviert.
• Für Intel-Modelle, wenn ein eDrive-Speicherlaufwerk mit dem vorinstallierten Windows 10-Betriebssystem
auf dem Computer installiert wurde

Der zweite Punkt bezieht sich auf Bitlocker in Verbindung mit der Hardwareverschlüsselung beispielsweise wie sie eine Samsung 980 Pro bieten kann. Afaik geht sowieso nur eDrive oder OPAL und nicht beides gleichzeitig.

Was kann man sagen wenn man mit der SSD umziehen will von einen in den anderen Rechner? Was auf jedenfall immer gehen sollte ist wenn man das Passwort vorher kurz entfernt.. Entfernt man es nicht weil man es nicht mehr entfernen kann weil der Rechner kaputt ist kann es funktionieren oder auch nicht....OPAL könnte hier der Grund sein wieso es zwischen einigen Modellen geht und anderen nicht.

Sind nun aber alles ältere Rechner, es kann also gut sein, dass es da irgendwann Änderungen gegeben hat, wodurch das nicht mehr kompatibel war.

Ich würde fast vermuten dass nicht zwangsweise immer die selbe Technik benutzt wird für das Passwort. Wenn OPAL vorhanden ist wird ggf einfach dieses benutzt und das der Grund für diese Inkompatibilitäten sein könnte.

Alternative wäre wie vornerei schon gesagt eDrive nutzen aka Bitlocker mit Hardwareverschlüsselung. Habe das auch ans Laufen gebracht wobei man die Hardwareverschlüsselung ja manuell aktivieren muss. Also offiziell hat Microsoft sich von diesem Weg ja verabschiedet und sagt ma soll Softwareverschlüsselung nutzen. Könnte also bei irgendeinem Update irgendwann durchaus auch mal für Probleme sorgen. Bei Bitlocker wird aber nicht alles verschlüsselt, die Startpartition nicht.
Eigentlich ist dieses NVMe Passwort ja der "saubere" Weg einfach komplett unabhängig vom OS sein.
Mit eDrive kann man sich afaik auch keine Image von der Platte erzeugen.

 

[Mornsgrans]

Vielleicht kann @ibmthink noch wichtige Details einbringen.

Die Erkenntnisse aus diesem Thread sollten hier noch ergänzt werden:

HDD Passwort zurücksetzen – ThinkPad-Wiki

 

[ebastler]

Ich nutze auf meinem T14s auch eDrive mit einer 980 Pro - braucht etwas Gebastel in den Gruppenrichtlinien, läuft so weit aber gut.

 

[Ravensberger]

Moin,

entgegen meiner Absicht habe ich nun doch meine 'modernsten' Geräte einmal geöffnet und die SSD ausgetauscht. Also ein T16 A Gen2 und ein L590.

Wie @Rassupo bereits geschildert hat, passen die Technologien nicht zusammen, weder in die eine, noch in die andere Richtung. Beide Geräte können die jeweils fremde SSD nicht ansprechen und sind der Meinung, keine Festplatte eingebaut zu haben. Das entspricht dem Verhalten an einem externen SATA- Controller, wie ich es bereits weiter oben beschrieben hatte.

Beim halbwegs aktuellen T16 ist zudem die Eingabe von Kennwörtern mit Sonderzeichen möglich, und genau das war in der Vergangenheit noch nie möglich. Wir haben es daher zwangsläufig mit nicht kompatiblen Technologien zu tun.

Kurz: Wenn nur ein einiges aktuelles Gerät mit diesen (furchtbaren) Maus-Klicki-UEFI vorhanden ist, kann man beim Ausfall des Laptops nur ein Thinkpad-Forum-Usertreffen aufsuchen und hier deutlich im Vorfeld formulieren, welche Hilfe benötigt wird - da wir auch gerne unsere Oldtimer zu solchen Treffen mitbringen und dann auch nicht helfen können. Wem das zu anstrengend ist, kann ja Bitlocker verwenden.

 

[mac4tp]

Was kann man sagen wenn man mit der SSD umziehen will von einen in den anderen Rechner? Was auf jedenfall immer gehen sollte ist wenn man das Passwort vorher kurz entfernt.. Entfernt man es nicht weil man es nicht mehr entfernen kann weil der Rechner kaputt ist kann es funktionieren oder auch nicht....OPAL könnte hier der Grund sein wieso es zwischen einigen Modellen geht und anderen nicht.

ist natürlich doof, wenn der Rechner kaputt ist und man dann nichts kompatibles mehr hat, um die Platte ggf. zu entsperren. Kann ich bei mir aber definitiv ausschließen, mein ThinkPad-Park ist über Generationen hinweg "unerschöpflich"

Ich würde fast vermuten dass nicht zwangsweise immer die selbe Technik benutzt wird für das Passwort. Wenn OPAL vorhanden ist wird ggf einfach dieses benutzt und das der Grund für diese Inkompatibilitäten sein könnte.

Ich habe (aktuell) nur Samsung SSDs, egal ob 2,5" SATA oder NVMe, sowohl Pro als auch Evo (Plus) und Opal haben die alle, ich achte da auch explizit drauf. Im aktuellen T480 ist eine 2 TB 990 Evo Plus, davor war eine 1 TB 980 Pro drin, die ich in mein X270 umgebaut habe, mit gesetztem Passwort und vorhandener Linux-Installation. Ging einfach, musste nix neuinstallieren nur hostname anpassen

Alternative wäre wie vornerei schon gesagt eDrive nutzen aka Bitlocker mit Hardwareverschlüsselung. Habe das auch ans Laufen gebracht wobei man die Hardwareverschlüsselung ja manuell aktivieren muss. Also offiziell hat Microsoft sich von diesem Weg ja verabschiedet und sagt ma soll

Das ist für mich schon deshalb ein no-go, weil es nicht plattform unabhängig ist und Mircrosoft ist sowieso niemals eine Option.

Solange es keine Berichte darüber gibt, dass es jemand geschafft hat eine mit Passwort geschützte Platte aus einem (halbwegs) aktuellen ThinkPad auszulesen, bleibe ich dabei: BIOS-Passwort und Festplatten-Passwort setzten und sicher genug ist's ...

 

[Rassupo]

bleibe ich dabei: BIOS-Passwort und Festplatten-Passwort setzten und sicher genug ist's ...

Sofern die SSD OPAL ist sprich interne Verschlüsselung besitzt. Aber so oder so zweifel ich die Sicherheit des Ganzen nicht an, geht mir eher um Usability.

Beide Geräte können die jeweils fremde SSD nicht ansprechen und sind der Meinung, keine Festplatte eingebaut zu haben.

Also erkannt werden die SSDs bei mir schon in jedem Gerät.
Ich kann sie nur nicht nutzen weil ich bei gesetztem Passwort nichtmal beim Booten nach dem pw gefragt werde. Aber paar Smartwerte auslesen übers Bios das ging alles zwischen T14 und T480 auch.

ch nutze auf meinem T14s auch eDrive mit einer 980 Pro - braucht etwas Gebastel in den Gruppenrichtlinien, läuft so weit aber gut.

Ja hab das auch ans Laufen bekommen. Nur damals konnte man es ja "offiziell" nutzen auch ohne Gebastel in den Gruppenrichtlinien. Und mittlerweile haben sie halt Statement rausgehauen ala "besser Software nutzen weil das andere ist nicht sicher und so". Sagen sie zumindest offiziell was dahinter steckt weiß man nicht. Alles was ich sage ist das KÖNNTE ggf irgendwann mal Probleme machen und MS sagt sich einfach dann "wieso? wir haben das doch offiziell gar nicht mehr unterstützt"

Mit dem "HDD Passwort" haste mit all dem nichts mehr zu tun.

Weiteres "Problem" MS schaltet Bitlocker auch bei Neuinstallationen ganz gern im Hintergrund einfach aktiv. Selbst wenn es "pausiert" ist und alles nur vorbereitet so liegen die Daten dennoch durch Bitlocker verschlüsselt auf der Platte vor. Ergo den Performanceverlust hätte man trotzdem. Da sollte man dann aufpassen wenn man eh schon HDD Passwort verwendet dass Bitlocker da nicht nochmal zusätzlich rumturnt und es zu Performanceverlust durch (unnötige) Softwareverschlüsselung kommt.

Die Erkenntnisse aus diesem Thread sollten hier noch ergänzt werden:
HDD Passwort zurücksetzen – ThinkPad-Wiki

scheint eh schon was älter zu sein weil die Bezeichung "Passphrase" wird doch schon länger gar nicht mehr benutzt.