ComputerBase Menü
Aktuelles

Sicherheit bei geändertem Bitlocker Passwort

andy_m4 schrieb:
Wobei es inzwischen genau deshalb auch immer öfter die secure erase Funktion gibt. Da beauftragt man quasi die Firmware der Platte mit dem sicheren Löschen und die sorgt dann dafür, das man auch wirklich alles erwischt.
Zum Vergrößern anklicken....
Ja auf jeden Fall und die sollte man dann unbedingt nutzen. Allerdings geht das ja nur für die gesamte Festplatte wenn man alles löschen will und nicht nur einen Teil.
 
Ein Backup der Festplatte machen. Gesamte Festplatte secure-erasen. Backup zurück auf (die dann neu verschlüsselte) Platte zurück spielen. Backup-Platte secure-erasen. :-)
 
  • Gefällt mir
Reaktionen: BeBur
So wie ich es sehe, kann man mit cmd Befehlen auch das Nummerische Kennwort bei Bitlocker entfernen, was wohl der Recovery Code ist.
Heißt das, man kann einfach von einem Bitlocker verschlüsseltem Volume auch einfach den Recovery-Key entfernen und hat trotzdem noch eine brauchbare verschlüsselte Partition?

Klar dass man dann kein Recovery Code mehr hat und die Daten dann bei Passwort vergessen weg sind, aber immerhin ein Angrifsspunkt weniger.
 
violentviper schrieb:
Klar dass man dann kein Recovery Code mehr hat und die Daten dann bei Passwort vergessen weg sind, aber immerhin ein Angrifsspunkt weniger.
Zum Vergrößern anklicken....
Warum solltest du das tun wollen? Es ist kein relevanter Angriffsvektor weniger. Ein bisschen wie die Gartenzwerge aus dem Vorgarten zu entfernen, damit einem niemand damit die Scheiben einwirft um einzubrechen. Kann man machen, aber wirklich die Einbruchsgefahr senken tut es nicht.
 
NJay schrieb:
Warum solltest du das tun wollen?
Zum Vergrößern anklicken....
Es gab ja auch schon Fälle, bei denen der Recoverycode ungewollt ins Microsoft Konto übertragen wurde. Das könnte man ausschließen, wenn man nachträglich den Recoverycode löscht.
 
violentviper schrieb:
So wie ich es sehe, kann man mit cmd Befehlen auch das Nummerische Kennwort bei Bitlocker entfernen, was wohl der Recovery Code ist.
Zum Vergrößern anklicken....
Würde ich nicht machen. Den Recovery-Key brauchst du möglicherweise nach einem UEFI-Update oder wenn sich die Konfiguration ändert.
Ungewollt übertragt sich der Schlüssel nicht ins MS-Konto, nur wenn die Option bei der Einrichtung explizit ausgewählt wurde.
Der Wiederherstellungsschlüssel wäre auch im MS-Konto sicher, wenn du ein sicheres Passwort für das Konto verwendest.
 
Dann nutz doch einfach VeraCrypt, wenn du Microsoft und Bitlocker nicht traust. Vor allem wenn du das TPM eh nicht nutzt.
 
violentviper schrieb:
Auf heise gibt es einen Bericht, dass MS sehr wohl per default den Recoverycode ins Onedrive hochlädt. Ich würde generell niemanden meinen Recoverycode anvertrauen wollen, ebenso wie ein Passwort.
Zum Vergrößern anklicken....
Wenn Du damit verantwortlich und sicher umgehst, ist das prima. Ich hatte dagegen schon öfters den Fall, daß die Kollegen ihren Wiederherstellungsschlüssel verbammelt hatten, und glücklicherweise wir diesen nochmal anderweitig sichern. Für private unbedarfte Personen ist so eine zusätzliche Sicherung im Prinzip erst mal gut, aber mit den daraus resultierenden genannten Nachteilen.
 
  • Gefällt mir
Reaktionen: BeBur
Dein Ansatz ist ein guter Weg zum vollständigen Datenverlust.
Du tauschst Sicherheit gegen komplett hypothetische und höchst unwahrscheinliche Angriffe gegen die sehr reale Gefahr, den Zugriff auf deine Daten zu verlieren unter ungünstigen Umständen.
 
  • Gefällt mir
Reaktionen: PHuV
violentviper schrieb:
Aber ist nicht genau das auch eine erhebliche Schwachstelle? Wenn dies ein festes Schema ist, dann könnte man hierauf doch ein Angrifsszenario aufbauen.
Zum Vergrößern anklicken....
LUKS unterstützt auch die Neu Verschlüsselung jedoch kann dies genausogut zur Schwachstelle werden und ist so auch tatsächlich passiert.

Es war nämlich dummerweise möglich in den Metadaten den Auftrag zur Neuverschlüsselung zu hinterlegen ohne das Passwort zu kennen.

Der Benutzer hat also ahnungslos sein Passwort eingegeben wie immer und im Hintergrund lief dann die Neu Verschlüsselung los.

Und dadurch entsteht dann eine Zugriffsmöglichkeit auf die Verschlüsselten Daten denn Neuverschlüsselung kann genauso auch Entschlüsselung bedeuten oder die Verschlüsselung mit einem bekannten Master Key und damit wertlos

Es ist schon kompliziert

Letztendlich würde ein System das Passwort Änderungen nicht erlaubt ohne Neuverschlüsselung auch nicht akzeptiert da das ewig dauert und bei SSDs ja auch auf die Lebenserwartung geht

"Richtig" implementiert ist es keine Schwachtelle
 
violentviper schrieb:
Es gab ja auch schon Fälle, bei denen der Recoverycode ungewollt ins Microsoft Konto übertragen wurde. Das könnte man ausschließen, wenn man nachträglich den Recoverycode löscht.
Zum Vergrößern anklicken....
Wenn du Microsoft nicht vertraust, solltest du generell kein Bitlocker verwenden. Gibt genug alternativen. Wer sagt denn, dass sie nicht auch dein Passwort irgendwo speichern?
 
Komische Wendung, von Passwortänderung zu Misstrauen gegenüber Microsoft 😂. Du kannst doch den Recoverycode auf einem USB-Stick etc. speichern, in der Cloud hat der natürlich nichts zu suchen. Aber das dieser automatisch dahin übertragen wird/wurde lag wohl an einem unfähigen User
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Bob.Dig
Leserartikel BitLocker Hardware Encryption eDrive
18 19 20
Antworten
384
Aufrufe
83.208
5lacker
5lacker
16-Bit
Bitlocker: Passwort bei Systemstart mit TPM erzwingen (nicht PIN!)
Antworten
8
Aufrufe
4.488
cloudman
C
O
BitLocker verschlüsselte Partition ohne Passwort oder recovery key
2
Antworten
30
Aufrufe
4.306
Nilson
Nilson
cornfield
Probleme mit Bitlocker config
Antworten
4
Aufrufe
2.267
cornfield
cornfield
D
Linux auf Bitlocker Partition zugreifen, Dualboot
Antworten
5
Aufrufe
3.324
Slayn
Slayn
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz