T14*/T15* NVMe Password vs. Bitlocker

R

Rassupo

Member
Themenstarter
Registriert
16 Juni 2014
Beiträge
32
Hallo, ich stehe vor der Entscheidung ob ich eher Bitlocker verwenden soll oder einfach ein NVMe Password.
Wobei ich das mit dem NVMe Password noch nicht so ganz verstanden habe vorallem ob ich die SSD dann noch auslesen kann wenn ich sie in einen anderen Rechner einbaue.

Etwas Internet suche hat ergeben dass das vergebene Passwort offenbar nicht direkt benutzt wird sondern da Hashes gebildet werden und auch die Seriennummer des Notebooks da noch mit einfliest mit dem Ergebnis dass die Daten dann selbst wenn man das Passwort weiß nicht in einem anderen Rechner auszulesen sind.

Bin auch darüber gestolpert


Jetzt gibt es bei den Thinkpads ja auch noch die Möglichkeit ein Doppelkennwort zu vergeben, siehe hier:

UEFI BIOS-Kennwörter des ThinkPad X1 Carbon 13th Gen (2025)

Erfahren Sie, wie Sie UEFI BIOS-Kennwörter des ThinkPad X1 Carbon 13th Gen (2025) setzen, ändern oder entfernen können.
download.lenovo.com

Ich verstehe es so bzw schätze dass das Administrator Kennwort es mir dann tatsächlich auch ermöglichen würden die SSD in anderen Rechnern zu entsperren.

Bin ich da korrekt in der Annahme und weiß jemand hier Näheres?

Die Frage bleibt halt was sollte man wählen, eigentlich gefällt mir der Ansatz durch ein NVMe Password einfach die SSD als solches zu sperren schon besser als Bitlocker wo eben nicht alles verschlüsselt wird.

Was sollte man wählen?

Ziel: Daten schützen vor Diebstahl des Laptops. SSD sollte sich im Fehlerfall des Laptops ausbauen lassen und in ein anderes Gerät setzen lassen um zumindest noch an die Daten ranzukommen. Sprich die SSD sollte nicht unwideruflich mit dem restlichen System "verheiratet" sein sodass nur noch in diesem System ein Auslesen der SSD möglich ist

Bitte kein Grundsatzdiskussionen oder weitere Dinge wie VeraCrypt ins Spiel bringen. Schutz vor staatlichen Behörden usw ist mir auch egal. Mir ist klar dass wenn die CIA vorbei kommt Bitlocker dann kein Hindernis ist für die;)
Das ist mir aber alles egal. Es geht mir um den einfachen Diebstahl zB im Urlaub etc.
 
Nur der Vollständigkeit halber:
Nachdem ein anderes Thinkpad die Platte wieder entsperrt hat, kannst Du im BIOS des Zweitrechners auch das Festplattenkennwort wieder entfernen. Dann ich die Platte wieder frei und in jedem Gerät nutzbar.
 
Sicher, dass das geht? Ich dachte der eigentliche Decryption Key liegt im TPM, und das Passwort entschlüsselt nur diesen. Aber kann gut sein dass ich mich irre - da wären nämlich auch bei einem TPM Reset alle Daten weg und das klingt etwas absurd.
 
ebastler schrieb:
Ich dachte der eigentliche Decryption Key liegt im TPM
Zum Vergrößern anklicken....
Die Platte bekommt ein Passwort z.B. das ganz geheime 1234

Mit 1234 wird die Platte dann freigeschaltet, das Laufwerk hat einen internen Schlüssel ziemlich lang und zufällig.
1234 schaltet den Zugriff im Laufwerk frei.
Wenn es an anderen Rechnern nicht geht unterstützt das Bios keine Festplattenkennwörter.
 
ebastler schrieb:
Ich dachte der eigentliche Decryption Key liegt im TPM, und das Passwort entschlüsselt nur diesen. Aber kann gut sein dass ich mich irre - da wären nämlich auch bei einem TPM Reset alle Daten weg und das klingt etwas absurd.
Zum Vergrößern anklicken....
Nutzt NVMe Password überhaupt das TPM? Bei Bitlocker ist es klar aber bei NVMe Password würde ich mal ein Fragezeichen dran machen.
 
mcb schrieb:
Die Platte bekommt ein Passwort z.B. das ganz geheime 1234

Mit 1234 wird die Platte dann freigeschaltet, das Laufwerk hat einen internen Schlüssel ziemlich lang und zufällig.
1234 schaltet den Zugriff im Laufwerk frei.
Zum Vergrößern anklicken....

Ich weiß nicht ob das bekannt ist. Also dass Passwordt was man per Hand eintippt muss nicht zwangsweise das sein was an die SSD geschickt wird... Falls es das nicht ist ist die Freischaltung in anderen Rechnern nämlich nicht möglich.

Ravensberger sagt es geht nur mit Thinkpads/Lenovo und hat es auch selbst ausprobiert nach eigenen Aussagen.

Sicherlich mag es auch Szenarien geben da will man die SSD fest verheiraten mit einem Gerät damit auch wenn der User das Passwort kennt die SSD nur in diesem Gerät entsperren kann. Ich will das aber nicht haben, will meine SSD rausnehmen können und woanders auch auslesen können...
 
Ist dein Desktop auch nen Lenovo PC gewesen?

Hab mal bei Dell geschaut, die machen scheinbar auch irgendwas mit NVMe Passwörtern, zumindest im Manual steht was drin. Ob es kompatibel ist zu Lenovo keine Ahnung..

Wenns 1:1 das Password an die SSD gesendet wird was man eintippt ist es halt kein Problem.
Wenn das Passwort was man eingibt aber noch vorher irgendwie "verwurstet" wird durch was Herstellereigenes, dann gehts halt nicht mehr weil man dann das RAW Passwort gar nicht kennt...
 
  • Like
Reaktionen: mcb
Rassupo schrieb:
Ist dein Desktop auch nen Lenovo PC gewesen?
Zum Vergrößern anklicken....
Selbstbau und Fujitsu. Ich habe aber nicht jedes Laufwerk in einen anderen Rechner gesteckt...
Beitrag automatisch zusammengeführt:

Rassupo schrieb:
Wenns 1:1 das Password an die SSD gesendet wird was man eintippt ist es halt kein Problem.
Zum Vergrößern anklicken....
Mein Kenntnisstand bisher.
Rassupo schrieb:
Wenn das Passwort was man eingibt aber noch vorher irgendwie "verwurstet" wird durch was Herstellereigenes
Zum Vergrößern anklicken....
Anscheinend bei allen Thinkpads identisch? Sonst hätte das hier schon auffallen müssen.
Bitlocker kaputt / Biospaßwörter als Blackbox, da bleibt nur noch LUKS.
 
Ravensberger schrieb:
Für mich persönlich ist es daher vollkommen unverständlich, warum in einem Thinkpad immer reflexartig geraten nach Bitlocker gerufen wird. Wenn die eingekaufte Lenovo Technik nicht gewollt ist, kommt man mit Acer oder Medion wesentlich günstiger davon
Zum Vergrößern anklicken....
Wenn ich beim Laptop aber WOL nutzen möchte, kann ich das mit dem HDD-Kennwort auch vergessen:rolleyes:
 
Es gibt bei den Thinkpads ja auch 2 Modi.

  • Einzelkennwort
    Wenn ein NVMe-Einzelkennwort festgelegt ist, muss der Benutzer das NVMe-Kennwort eingeben, um auf Dateien und Anwendungen auf dem Speicherlaufwerk zuzugreifen.
  • Doppelkennwort (Benutzer + Administrator)
    Das NVMe-Administratorkennwort wird von einem Systemadministrator eingerichtet und verwendet. Dies ermöglicht dem Administrator den Zugriff auf jedes Speicherlaufwerk in einem System oder auf jeden Computer, der mit demselben Netzwerk verbunden ist. Der Administrator kann außerdem jedem Computer im Netzwerk ein NVMe-Kennwort zuweisen. Dieses NVMe-Kennwort kann vom Benutzer ggf. geändert werden, doch nur der Administrator kann das NVMe-Kennwort entfernen.
Zum Vergrößern anklicken....


Wenn die SSD selbst nur ein Password verarbeiten kann dann kann zumindest das Doppelkennwort nicht mehr so einfach funktionieren sondern da muss dann das Masterpasswort im Bios verschlüsselt liegen und man kann es sowohl mit dem Benutzer als auch Administrator Passwort entschlüsseln.

Dann wären beide vergebenen Passwörter aber nicht das Passwort was am Ende an die SSD gesendet wird.


Beim Einzelkennwort könnte es das aber sein...

mcb schrieb:
Bitlocker kaputt
Zum Vergrößern anklicken....
Was meinst mit kaputt? Mit TPM+Pin ist es doch weiterhin sicher afaik. Nur ohne Pin ist es quasi "geknackt"

LungeeLuke schrieb:
Wenn ich beim Laptop aber WOL nutzen möchte, kann ich das mit dem HDD-Kennwort auch vergessen:rolleyes:
Zum Vergrößern anklicken....
Möchte man das denn? Also nen Notebook ist nen Gerät was ich nicht umbedingt per WOL starten brauche.

Kannst ja Bitlocker benutzen ich meine mit Windows Server kann man das auch irgendwie übers Netzwerk dann freischalten (solange es sich in diesem Netzwerk verbindet).
Aber mir gehts eher um private Nutzung;)

Will einfach nur nen sicheren Rechner und wenn der Laptop von meinem Vater schrott geht will ich ihm nicht sagen dass er alles an Programme und Einstellungen neu installieren muss auf seinem neuen Rechner, sondern ihm einfach nur die SSD dann in ein neues Gerät reinbauen...
 
Zuletzt bearbeitet:
Rassupo schrieb:
wenn der Laptop von meinem Vater schrott geht will ich (...) einfach nur die SSD dann in ein neues Gerät reinbauen...
Zum Vergrößern anklicken....
Ein sicherer Weg zu einem verhunzten System. Das dann geradezubiegen dauert höchstwahrscheinlich länger, als einmal Windows & Programme neu zu installieren.

Aber mach was du willst, du möchtest es ja umständlich und kompliziert. Ich bin jetzt hier raus.
 
uli1956 schrieb:
Weg zu einem verhunzten System.
Zum Vergrößern anklicken....
Ist mit modernem Windows eigentlich kein so großes Problem mehr... Ich hab mit Windows 8.1 mal aus Neugierde eine SSD vom T450s (Broadwell-U) in einen PC mit Bay Trail Atom und dann in einen PC mit Haswell gesteckt - auf allen hat sie normal gebootet, kurz Treiber nachinstalliert und lief dann unauffällig ohne Performance-Verlust oder andere Probleme.

Vereinzelt kann es natürlich trotzdem Ärger machen, aber einen Versuch ist's mMn wert.
 
Zurück zum Thema...

Das Masterpasswort ermöglicht es im BIOS, ein User Festplattenkennwort zu löschen, wenn dieses nicht mehr bekannt sein sollte.
Das ist ja schön und gut, nur 'leider' startet der Recher gar nicht erst, bis das Festplattenkennwort eingegeben wurde. Erst danach kann man das BIOS aufrufen. Wenn man das Festplattenkennwort dreimal falsch eingibt, geht der Rechner aus. Da fragt niemand nach einem Masterpasswort.

Das Masterpasswort wird bei einem Umzug der Festplatte mitgenommen. Es ist also ebenfalls auf der Festplatte abgelegt. Zudem muss es sich bei den Festplattenkennwörtern um einen Industriestandard handeln, der auch nichts mit 'modernen Computern' zu tun hat. Die Festplattenkennwörter stammen aus einer Zeit, als der Begriff SSD noch nicht erfunden war. Das Setzen der Kennwörter ist auch nicht auf einen Festplattentyp beschränkt, sondern funktioniert immer, auch mit uralten HDDs.

Quelle: Eigene Versuchsaufbauten an einem regnerischen Nachmittag.
 
Ravensberger schrieb:
Quelle: Eigene Versuchsaufbauten an einem regnerischen Nachmittag.
Zum Vergrößern anklicken....
Danke für deinen Input.

Aber so wie ich das sehe scheint sich das teilweise mit den Beobachtungen hier


zu widersprechen. Wobei der Artikel dort ja auch schon einige Zeit alt ist.

Aber wenn du sagst man kann die ssd mitnehmen und in nem anderen Thinkpad starten (mit dem Passwort) dann glaube ich das erstmal.

Eine 980Pro hat intern ja auch Verschlüsselung. Damit sollte sich in Verbindung mit dem NVMe Passwort eigentlich eine Sicherheit hinbekommen die zumindest auf dem gleichen Level wie Bitlocker ist.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • IT Refresh - IT Teile & mehr
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen
  • ok2.de - Notebook Computer Server

Werbung

Zurück
Oben