ThinkPad BIOS (Supervisor) Passwort - Gültige Zeichen

[chxxt]

Abend,

habt ihr Kenntnisse darüber, welche Zeichen man beim Setzen des Supervisor-Passwortes verwenden kann? In meinem Fall (T480) steht auch im HMM zwar eine Beschreibung der einzelnen Passwörter drin, aber nicht deren Eigenschaften bzw. Länge oder gültige Buchstaben (Groß- vs Kleinschreibung) sowie erlaubte Sonderzeichen.

Es gibt im Internet Berichte darüber, dass Sonderzeichen nicht erkannt werden und dass nicht zw. Klein/Großschreibung unterschieden wird. Leider habe ich diesbzgl. keine offiziellen Angabe von Lenovo darüber gefunden. Bevor ich mich daher aus meinem ThinkPad aussperre, wollte ich mal nach eurem Wissensstand fragen.

Danke vorab.

 

[LZ_]

mit Sonderzeichen welche auf einer US Tastatur nicht erreichbar sind würde ich eher nicht operieren ;-)

 

[Mornsgrans]

Verwende Buchstaben ohne Umlaute oder Aktenten, Ziffern und Sonderzeichen in Groß-und Kleinbuchstaben.

Die Zeichen ^, ´ und ` lasse sicherheitshalber weg. Achte auch auf die Tastaturbelegung (Sprache).

 

[laptopheaven]

aber nicht deren Eigenschaften bzw. Länge

Für einen Kunden setzen wir ein 19 stelliges BIOS Passwort was kein Problem darstellt.

Früher als die BIOS Passworte noch im Klartext ablegbar waren, war bei 8 Zeichen Schluss. Jetzt wird ein 16 Bit Hashwert erzeugt.
Da kannst Du ordenlich tippen wenn Du willst

Statt einem komplizierten BIOS Passwort, empfehle ich eher den Datenträger zu verschlüsseln wenn Du Sicherheit haben möchtest.

 

[chxxt]

Verwende Buchstaben ohne Umlaute oder Akzenten, Ziffern und Sonderzeichen in Groß-und Kleinbuchstaben.
[...]

Sorry, als IT-ler habe ich etwas "Schwierigkeiten", den Satz zu parsen... bevor ich da zu viel interpretiere: d. h. nur Buchstaben? "ohne" listet alle nicht zu verwendenden Zeichen auf? oder "Buchstaben [...] in Groß- und Kleinbuchstaben"? oder eine andere Kombination?

Für einen Kunden setzen wir ein 19 stelliges BIOS Passwort was kein Problem darstellt.

Früher als die BIOS Passworte noch im Klartext ablegbar waren, war bei 8 Zeichen Schluss. Jetzt wird ein 16 Bit Hashwert erzeugt.
Da kannst Du ordenlich tippen wenn Du willst

Statt einem komplizierten BIOS Passwort, empfehle ich eher den Datenträger zu verschlüsseln wenn Du Sicherheit haben möchtest.

Datenträger ist ohnehin verschlüsselt, es geht nur noch um das zusätzliche Quäntchen Sicherheit (Stichwort Evil Maid)
Tippen ist auch nicht das Problem (wenn ich dafür im Gegenzug an Sicherheit gewinne), aber geht eben um die Merkmale des BIOS-PWs bzgl. erlaubte Zeichen.

 

[Mornsgrans]

Alles ohne Akzente und Umlaute und sonst. nationale Sonderzeichen.

 

[think_pad]

Alles ohne Akzente und Umlaute und sonst. nationale Sonderzeichen.

!"#$%&'()*+,-./0123456789:;<=>?
@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_
`abcdefghijklmnopqrstuvwxyz{|}~

 

[schoerg]

Verwenden würde ich aus der Liste: 0123456789 und abcdefghijklmnopqrstuvwxyz.

 

[ebastler]

Dead keys würde ich weglassen, keine Ahnung wie die gehandhabt werden...

 

[chxxt]

Tendenz geht wohl Richtung einfaches Alphabet und Zeichen.

Nur schade, dass es keine offizielle Infos seitens Lenovo hierzu gibt, ist ja nur ein sicherheits-relevantes Thema... Das Gefühl der Sicherheit ist bei dem eingeschränkten Zeichen-Pool natürlich auch wenig gegeben :/

 

[think_pad]

Das Gefühl der Sicherheit ist bei dem eingeschränkten Zeichen-Pool natürlich auch wenig gegeben :/

Das stimmt so nicht:

1. Das BIOS-Passwort wird nirgendwo gesichert, sondern wird ein Hash-Wert der Zeichenfolge gebildet.
2. Klassische Brut-Force-Angriffe sind beim BIOS/UEFI nicht möglich.

 

[Mornsgrans]

Nur schade, dass es keine offizielle Infos seitens Lenovo hierzu gibt, ist ja nur ein sicherheits-relevantes Thema...

Wozu auch? - Wird im BIOS eine ungültige Taste gedrückt, sollte eigentlich ein Warnton ertönen.
Unklar ist allenfalls, ob zwischen Groß- und Kleinschreibung unterschieden wird, was dann auch möglicherweise die Zifferntasten beträfe.

Du kannst selbstverständlich jedes auf der Tastatur vorhandene Zeichen verwenden. Was jedoch passiert, wenn man z.B. nach festlegen eines UEFI-Passwortes die Sprache in UEFI ändert, weiß ich nicht - genausowenig, wie die Frage nach einer möglicherweise sprachabhängigen Tastaturbelegung. Ich denke aber, dass sie bei en_us bleiben dürfte.

Ich habe dennoch mal im Lenovo-Forum eine diesbezügliche Anfrage gestellt. Mal sehen, wie die Lenovo-Mitarbeiter darauf reagieren:

English Community-Lenovo Community

Anders ist es beim eigentlichen Bootvorgang:
Probleme gibt es allenfalls bei Wechsel des Zeichensatzes oder wenn Du ein Passwort z.B. unter Windows mit Tastatur des Landes A festlegst, es aber z.B. auf BIOS-Ebene die Eingabe mit Tastatur des Landes B erfordert. Aber es macht für mich beim Starten von Windows je nach Tastatursprache schon einen Unterschied, ob ich die Taste Ü oder [ drücke. Das verwenden der "Dead-Keys" kommt dann aber zu tragen, da diese auf der einen Tastatur an einer anderen Stelle liegen, als bei anderssprachigen.

Beispiel:
Bitlocker bei mehreren ThinkPads (auch internationale) auf Passworteingabe festlegen, Du legst auf allen das Bitlocker-Passwort qwertz fest.
Auf englisch-USA-Rechnern musst Du qwerty, auf französischen azerty eingeben, bei deutschen qwertz

 

[chxxt]

Wozu auch? - Wird im BIOS eine ungültige Taste gedrückt, sollte eigentlich ein Warnton ertönen.
Unklar ist allenfalls, ob zwischen Groß- und Kleinschreibung unterschieden wird, was dann auch möglicherweise die Zifferntasten beträfe.
[...]
Ich habe dennoch mal im Lenovo-Forum eine diesbezügliche Anfrage gestellt. Mal sehen, wie die Lenovo-Mitarbeiter darauf reagieren:

English Community-Lenovo Community

[...]
Anders ist es beim eigentlichen Bootvorgang:
Probleme gibt es allenfalls bei Wechsel des Zeichensatzes oder wenn Du ein Passwort z.B. unter Windows mit Tastatur des Landes A festlegst, es aber z.B. auf BIOS-Ebene die Eingabe mit Tastatur des Landes B erfordert. Aber es macht für mich beim Starten von Windows je nach Tastatursprache schon einen Unterschied, ob ich die Taste Ü oder [ drücke. Das verwenden der "Dead-Keys" kommt dann aber zu tragen, da diese auf der einen Tastatur an einer anderen Stelle liegen, als bei anderssprachigen.
[...]

1) Betonung auf "eigentlich". Im Lenovo-Forum gibt es diesbzgl. auch Berichte, dass bei Einrichtung des Passwortes Sonderzeichen etc. nicht gemeckert wurde (d. h. kein Warnton), bei Passwort-Abfrage dann schon :S
2) Danke dafür.
3) Passwörter auf Appliations- / OS-Ebene lassen wir hier mal außen vor. Ist meiner Meinung nach auch nicht ganz unproblematisch, aber solange die Limitierungen klar sind (welche auch so kommuniziert werden was ich bisher gesehen habe), kann man damit leben.

Das stimmt so nicht:

1. Das BIOS-Passwort wird nirgendwo gesichert, sondern wird ein Hash-Wert der Zeichenfolge gebildet.
2. Klassische Brut-Force-Angriffe sind beim BIOS/UEFI nicht möglich.

Hast du hier entsprechende Quellen, wo man das nachlesen könnte? Ersteres hat ja oben auch schon ein Nutzer erwähnt, letzteres habe ich bislang nicht wiedergefunden.

 

[think_pad]

Hast du hier entsprechende Quellen, wo man das nachlesen könnte?

Nein, und Du wirst auch keine solchen Quellen mehr finden. Lenovo ist die einzige chinesische IT-Firma, die amerikanische Behörden beliefern darf. Das soll, das muss Dir als Vertrauensbeweis reichen...