Bios-Kennwort vs. Windows-Kennwort, was ist "sicherer"?

[Ephesus]

@Chillaholic nein, funktioniert immer noch bei lokalen Windows Konten, sprich welche nicht ihren Microsoft Account zum Anmelden benutzen.
Und es gibt noch den versteckten, deaktivierten Account namens Administrator.
Das letzte Mal habe ich den Trick vor ein viertel Jahr auf einer Windows 10 Installation angewendet.

 

[wetterauer]

Die Kniffe für das Windows-Kennwort zu finden ist nicht schwer. Aber nochmal, es war eine fiktive Situation und hat mich persönlich interessiert. Hat mich aber auch neugierig gemacht. Unter bestimmten Umständen kann es wohl auch mit Bitlocker Probleme geben? Kann man über eine so geschützte Partition ein Image von einem Bootmedium drüber bügeln?

Hatte da einen Fall gefunden, bei dem nach einem Bios-Update nicht mehr auf die verschlüsselte Partition zugegriffen werden konnte.

 

[Evil E-Lex]

Kann man über eine so geschützte Partition ein Image von einem Bootmedium drüber bügeln?

Ja natürlich. Überschreiben kann man immer alles.

 

[hildefeuer]

Windows Passwort nutzt im Punk Sicherheit wenig. Immerhin kann man damit sofortigen Zugriff auch Deinen Rechner im Büro verhindern, wenn Du aufs WC gehst. Außerdem Zugriff via Netzwerkfreigaben ist dann auch nicht ohne Dein Wissen möglich. Ebenso Remote Zugriff.
Aber mehr auch nicht. Ein einfacher Linux Boot vom USB-Stick umgeht das ganze.
Ja klar Platte ausbauen und Bios PW wird schwieriger bei Lappis. Wenns dann ne eingelötete SSD wie beim Mac ist, scheidet das aus.
Kann man also nur individuell beantworten, nicht allgemein.
Aber klar bios Password ist sicherer als Windows Password.

 

[STEz3ro2]

Wenns dann ne eingelötete SSD wie beim Mac

Bei meinem MBP ists immerhin noch ne M.2(-ähnliche) Platte

 

[h00bi]

BIOS-PW ist eh für n Arsch, einmal Jumper umsetzen und weg ist das.

Nur bei Consumer Geräten.
Bei vielen echten Business Geräten, insbesondere bei Business Notebooks, kannst du das BIOS Passwort durch Resets oder Batterie entfernen nicht resetten, weil es in einem nicht-flüchtigen Speicher liegt.

 

[hide.me]

Immerhin kann man damit sofortigen Zugriff auch Deinen Rechner im Büro verhindern, wenn Du aufs WC gehst. Außerdem Zugriff via Netzwerkfreigaben ist dann auch nicht ohne Dein Wissen möglich. Ebenso Remote Zugriff.

Die Schilderung ist etwas naiv....
Ich gebe dir mal ein Beispiel ohne irgendwas zu umgehen...
Der Kollege jubelt dir während du auf dem Klo bist kurz mal einen Hardware-Keylogger unter und bei der nächsten Sitzung hat er alle deine Accounts.

 

[BFF]

Hi,

Man muss eine Datei ersetzen und schon hat man eine nette Hintertür mit Systemrechten, ist sogar mehr als Adminrechte.

Das zu unterbinden ist MS gerade sehr eifrig bei.
Kennst Du?
https://administrator.de/contentid/391076

Egal.

Vollverschluesselung mit Bitlocker moeglichst mit Nutzung vom TPM-Modul usw. oder halt Veracrypt wenn Home-Edition.

BFF

 

[hildefeuer]

Ja wie macht er das wenn er Dein Windows PW nicht kennt? Per E-Mal, klar das geht.

 

[Gortha]

Windows Bitlocker verwenden und Windows PW (mind 12 Zeichen), wenn es sicher sein soll.

 

[Wilhelm14]

Ja wie macht er das wenn er Dein Windows PW nicht kennt?

https://www.google.com/search?q=keylogger&tbm=shop
Einfach einstöpseln und warten, sofern ich das nicht missverstanden habe.

 

[Ephesus]

@BFF Danke für die Info, kannte ich noch nicht. Schön, dass der eine Teil gefixt wird. Das war fast ein jahrzehntelang eingebauter Backdoor. Der andere Teil reicht mir zum Helfen bei Notfällen.

 

[Dalek]

Weder BIOS noch Windows Passwort verhindern das jemand einfach die Festplatte direkt ausliest.

Wenn es um die Daten geht die auf dem Rechner sind, ist beides kein effektiver Schutz. Die einzige sinnvolle Variante ist die Festplatte/SSD voll zu verschlüsseln. Dazu ist dann natürlich ein Windows Passwort nötig für die Zeit in der der Rechner angeschaltet ist, und jemand anderes Zugang hätte. Man muss sich dann aber auch konsequent ausloggen wenn man von Rechner weggeht.

 

[Merle]

Der einzige Schutz gegen das Abwandern der Daten sind diverse Vollverschlüsselungen.
Dabei KANN ein Bios-HDD(!!)-PW (OPAL?) am meisten helfen, besser noch Veracrypt.
Gegen Nutzbarkeit nach dem Diebstahl kannst du imo nichts machen.

 

[hide.me]

@Dalek
Daher ist bei uns Pflicht das man automatisch abgemeldet wird wenn man den Arbeitsplatz verlässt, in allen sensiblen Bereichen ist das Vorschrift. Da gibt es drakonische Strafen. Ich habe schon in der ersten Woche in der IT auf die Nüsse bekommen wegen der Abmeldung, gerade als Admin ist das sehr wichtig.
Allerdings reicht das nicht im Hochsicherheitsbereich, da Keylogger selbst die Verschlüsselungs PW auslesen und damit die Sache eh schon verloren ist. Wenn irgendwer physischen Zugriff auf den Rechner hat wie z.B. an einer Schule oder Behörde, dann reicht es nicht sich abzumelden und Windows Passwort ist eh ein Witz. Das reicht dann gegen Hinz und Kuntz, aber das wars auch.

 

[Dalek]

@Dalek
Daher ist bei uns Pflicht das man automatisch abgemeldet wird wenn man den Arbeitsplatz verlässt, in allen sensiblen Bereichen ist das Vorschrift. Da gibt es drakonische Strafen. Ich habe schon in der ersten Woche in der IT auf die Nüsse bekommen wegen der Abmeldung, gerade als Admin ist das sehr wichtig.
Allerdings reicht das nicht im Hochsicherheitsbereich, da Keylogger selbst die Verschlüsselungs PW auslesen und damit die Sache eh schon verloren ist. Wenn irgendwer physischen Zugriff auf den Rechner hat wie z.B. an einer Schule oder Behörde, dann reicht es nicht sich abzumelden und Windows Passwort ist eh ein Witz. Das reicht dann gegen Hinz und Kuntz, aber das wars auch.

Wenn ein Keylogger oder andere Malware installiert ist, ist sowieso alles aus, das ist nochmal ein ganz anderes Szenario.

Verschlüsseln und konsequent ausloggen ist das beste was für ganz normale Benutzer noch einfach machbar ist. Kein perfekter Schutz, aber da erwartet man jetzt nicht das da jemand kommt der in der Lage ist eine Cold Boot Attacke durchzuführen. Und auch einen Hardware Keylogger installieren ist deutlich über dem was ein Gelegenheitsangreifer im Allgemeinen machen würde. Gegen entschlossene Angreifer die eine Weile alleine mit dem PC sein können hilft das alles nicht, das ist schon richtig. Aber sich dagegen zu verteidigen ist für Durschnittsbenutzer einfach nicht realistisch machbar.

 

[hide.me]

Wenn ein Keylogger oder andere Malware installiert ist, ist sowieso alles aus, das ist nochmal ein ganz anderes Szenario.

Falsch. Das ist genau das Szenario. Es ging hier um physischen Zugriff wenn man z.B. kurz auf Klo ist...
Hardware-Keylogger dran und alles ist gelaufen. Das ist die gängige Methode, wenn wir hier über Sicherheit sprechen. Da ist alles andere sofort obsolet.

 

[Chillaholic]

Das zu unterbinden ist MS gerade sehr eifrig bei.

Das meinte ich weiter oben. Der Trick ist also nicht mehr so einfach machbar.

 

[Dalek]

Falsch. Das ist genau das Szenario. Es ging hier um physischen Zugriff wenn man z.B. kurz auf Klo ist...
Hardware-Keylogger dran und alles ist gelaufen. Das ist die gängige Methode, wenn wir hier über Sicherheit sprechen. Da ist alles andere sofort obsolet.

Der Satz bezieht sich auf Software, nicht auf Hardware. Keylogger gibt es halt in beiden Varianten, das war etwas schwammig formuliert von mir.

 

[martinallnet]

@STEz3ro2 geht sogar noch besser: Man muss eine Datei ersetzen und schon hat man eine nette Hintertür mit Systemrechten, ist sogar mehr als Adminrechte. Der normale Benutzer merkt gar nicht so viel von dem Trick. Mehr darf ich nicht verraten, sonst gebe ich eine verbotene Anleitung.

Ich spreche aus Erfahrung, dass es funktioniert. Hab's manchmal bei Bekannten angewendet, die ihr Windows Passwort vergessen haben.

Bildschirmlupe?