Windows 11 und Bitlocker Länge von PW

[Chibi88]

Hallo,

ursprünglich habe ich bei Windows 10 mein TPM nicht aktiviert, aber über die Richtlinien ein Passwort gesetzt.

Jetzt habe ich Windows 11 installiert und finde in den Richtlinien nur eine Option zusätzlich eine PIN zu aktivieren. Leider kann die PIN nur aus 20 Zeichen bestehen. Mein Passwort, was ich aber gerne verwende, länger. Gibt es eine Möglichkeit das Limit anzuheben?

Anmerkung. Ich möchte eine FDE und Veracrypt kommt nicht in frage, weil das System noch relativ frisch ist.

Frage aus Neugier: was bringt Bitlocker, wenn Standardmäßig keine PIN vergeben wird, das Laufwerk aber verschlüsselt wird? Ist dann ja nicht wirklich hilfreich bei lokalen Zugriff an der Hardware, oder?

 

[Sephe]

Durch Secure Boot ist der Bootvorgang bis zur Windows Anmeldung abgesichert.

Von USB Stick Booten: Dateisystem ist verschlüsselt.
Datenträger ausbauen: nicht in anderen Systemen lesbar.

Also welchen Angriffsvektor stellst du dir vor?

 

[LorD-AcE]

Mit einem TPM Chip wird der Schlüssel für Bitlocker von dem Chip bereit gestellt.

https://en.wikipedia.org/wiki/BitLocker#Features

 

[cloudman]

Bitlocker ohne pin schützt davor, dass ein Datenträger auf einem anderen Rechner verwendet werden kann (externe Platte verloren)

Zur PIN Länge - brute Force ist ziemlich schwierig weil eigentlich so gut wie jedes TPM dich aussperrt. Deswegen sind 20 Zeichen mehr als ausreichend
https://docs.microsoft.com/en-us/wi...he-pin-that-unlocks-my-operating-system-drive

 

[Chibi88]

Durch Secure Boot ist der Bootvorgang bis zur Windows Anmeldung abgesichert.

Von USB Stick Booten: Dateisystem ist verschlüsselt.
Datenträger ausbauen: nicht in anderen Systemen lesbar.

Also welchen Angriffsvektor stellst du dir vor?

Ist das so? Ich dachte man benötigt PBA preboot authentication. Und das schützt bis zur Anmeldung?

Also muss ich quasi nur mein Windows Kennwort komplex gestalten und das reicht dann?

Angenommen ich nutze einfach nur Bitlocker mit TPM 2 und da nicht zusätzlichen einen PIN oder USB: Ist das Gerät dann trotzdem voll verschlüsselt und abgesichert über das Windows PW? (Windows PWs kann man doch umgehen)

 

[LorD-AcE]

Am besten hier mal reinlesen: https://docs.microsoft.com/en-us/wi...tlocker-device-encryption-overview-windows-10

 

[cloudman]

PIN solltest du trotzdem setzen aber sie muss nicht super komplex sein.

 

[Domi83]

Deswegen sind 20 Zeichen mehr als ausreichend

Naja, wenn er aber als Kennwort "MeineMutterMagMuffinsManchmalMontagsMeistensMittwochsMitMamelade" sind das mehr als 20 Zeichen und das will er vielleicht unbedingt eingeben

Finde es aber auch eher sub-optimal, dass man maximal 20 Zeichen eingeben kann...

 

[cloudman]

^ Geht aber nicht.
Die PIN ist eigentlich auch kein Kennwort sondern ein zweiter Faktor.
Wer es noch sicherer möchte kann auch noch einen USB Start up Schlüssel verwenden

 

[Sephe]

Die Pin ist einfach dafür da, dass man das komplexe Passwort nicht jedes Mal eingeben muss.
Wenn man nämlich die Pin mehrmals falsch eingibt, muss man nämlich das Passwort eingeben.
Von daher sind 20 Zeichen für die PIN mehr als ausreichend.

 

[Marco01_809]

Durch Secure Boot ist der Bootvorgang bis zur Windows Anmeldung abgesichert.

Nicht wirklich. Das TPM überprüft dann nur ob es noch im gleichen Gerät sitzt und dessen Konfiguration. Und dann plaudert es einfach so den Verschlüsselungskey aus an die Festplatte.

Alles was man tun muss ist ein paar zusätzlich Pins an den SATA-Anschluss bzw. PCIe Bus zu verbinden und den Key mitsniffen -> Verschlüsselung gebrochen, die SSD kann nun in jedem Gerät entschlüsselt werden.

Darum niemals TPM ohne PIN/Passwort verwenden, es gibt einfach kein realistisches Angriffsszenario vor dem eine passwort-lose TPM schützt.

 

[JBG]

Edit: War noch gedanklich noch bei Windows 10 - hat das schon jemand bei Windows 11 getestet?


Falls es noch nicht bekannt sein sollte:

Man kann über gpedit.msc Richtlinien zu Bitlocker ändern, so dass auch bei der Windows-Boot-Festplatte eine Software-Verschlüsselung (wie bei VeraCrypt & Co.) verwendet wird - gänzlich ohne TPM.

Das Kennwort kann dann auch sehr lang ausfallen, aber Vorsicht: in der Pre-Boot-Umgebung scheint das Tastaturlayout immer QWERTY zu sein, das sollte man bei der Vergabe des Kennworts in Windows beachten, da dort ja in der Regel QWERTZ aktiv ist.

Die Software-Verschlüsselung kostet im Vergleich zum standard Firmware-Weg etwas Performance, der MS-Treiber ist aber deutlich flotter als VeryCrypt, so dass das bei einer CPU mit AES-NI Nörgeln auf sehr hohem Niveau ist.

 

[katzenhai2]

Nicht wirklich. Das TPM überprüft dann nur ob es noch im gleichen Gerät sitzt und dessen Konfiguration. Und dann plaudert es einfach so den Verschlüsselungskey aus an die Festplatte.

Alles was man tun muss ist ein paar zusätzlich Pins an den SATA-Anschluss bzw. PCIe Bus zu verbinden und den Key mitsniffen -> Verschlüsselung gebrochen, die SSD kann nun in jedem Gerät entschlüsselt werden.

Darum niemals TPM ohne PIN/Passwort verwenden, es gibt einfach kein realistisches Angriffsszenario vor dem eine passwort-lose TPM schützt.

Das heißt, selbst wenn jemand an den Key käme, nützt der nichts ohne das Passwort (bzw. wohl eher die PIN). Kann dann aber nicht jemand mit der PIN hier Brute Force machen? Er braucht das TPM-Modul doch gar nicht mehr dazu. Dann wäre doch eine sehr lange PIN (alphanumerisch, nicht nur Nummern) wirklich wichtig, so wie bei jedem Passwort auch. Dann könnte man schon argumentieren, dass "nur" 20 Zeichen etwas knapp bemessen sei...

 

[Marco01_809]

@katzenhai2 Nein, ein TPM schützt eben genau vor dem offline brute-force Angriff wie du ihn beschreibst.
(Offline heißt hier dass das angegriffene gerät bzw. die TPM nicht involviert sind).

Wenn du das TPM mit einer PIN sicherst, dann gibt das TPM den Key erst raus nachdem es den richtigen PIN (bzw. Passwort) erhalten hat. Brute-force wird dadurch unterbunden, dass das TPM sich merkt wie oft bereits ein fehlerhafter PIN eingegeben wurde. Wird die Maximalanzahl überschritten macht das TPM dicht und lässt keine weiteren Versuche zu.

Dadurch sind - zumindest theoretisch wenn man dem TPM-Hersteller vertraut - mit einer TPM deutlich kürzere PINs/Passwörter genau so sicher wie ein langes Passwort ohne TPM.

 

[Chibi88]

Danke.

Verstanden habe ich das noch immer nicht ganz genau. Ich versuche noch mal anders zu formulieren:

Angenommen ich aktiviere Bitlocker ohne PIN und ohne USB Stick als Faktor: schützt mich das Ganze dann nur vor Ausbau der Festplatte? Gegen physischen Zugriff auf den Rechner schützt dies nicht, richtig? Ergo kann jeder, der den PC dann hochfährt auf meine Daten zugreifen, wenn ich das richtig verstehe.

muss Secure Boot aktiviert sein wenn ich Bitlocker aktiviert habe oder kann es auch mit deaktivierten SB genutzt werden? Falls ja ist dies ein Angriffsvektor oder?

Werde aus diesem ganzen TPM Kram nicht ganz schlau. So wie sich das anhört sind die Daten verschlüsselt und geschützt vor „Remote“ Zugriff aber nicht vor physischen Zugriff.

 

[BlubbsDE]

Hat mit TPM rein gar nichts zu tun. Ist nur eine Sache der Verschlüsselung. Will man von einem verschlüsselten Laufwerk booten, muss dieses zuvor entschlüsselt werden. Klar, oder?

Lässt Du die PIN weg, wird es ohne weiteren Schutz entschlüsselt. Jeder der an Deinen Rechner kommt, kommt auch an Deine Daten.

 

[Chibi88]

Also kann man zum physischen absichern nur eine PIN mit maximale 20 Zeichen vergeben. Muss man das verstehen? Wieso geht es nicht mit einem komplexen Passwort?

Zudem muss man die Funktion mit der PIN ja erst mal in der GPO aktivieren. Ist ja standardmäßig gar nicht aktiv. Also schützt mich Bitlocker quasi nur vor nicht Remote Angriffen. Interessant.

 

[cloudman]

Hier gibt es mehr Infos https://docs.microsoft.com/en-us/wi...rotection/bitlocker/bitlocker-countermeasures

 

[Chibi88]

Edit: War noch gedanklich noch bei Windows 10 - hat das schon jemand bei Windows 11 getestet?


Falls es noch nicht bekannt sein sollte:

Man kann über gpedit.msc Richtlinien zu Bitlocker ändern, so dass auch bei der Windows-Boot-Festplatte eine Software-Verschlüsselung (wie bei VeraCrypt & Co.) verwendet wird - gänzlich ohne TPM.

Das Kennwort kann dann auch sehr lang ausfallen, aber Vorsicht: in der Pre-Boot-Umgebung scheint das Tastaturlayout immer QWERTY zu sein, das sollte man bei der Vergabe des Kennworts in Windows beachten, da dort ja in der Regel QWERTZ aktiv ist.

Die Software-Verschlüsselung kostet im Vergleich zum standard Firmware-Weg etwas Performance, der MS-Treiber ist aber deutlich flotter als VeryCrypt, so dass das bei einer CPU mit AES-NI Nörgeln auf sehr hohem Niveau ist.

Unter welchem Punkt finde ich den Eintrag? Dann teste ich das später mal.

 

[cloudman]

kann man zwar machen - aber Bitlock + TPM und PIN dürfte trotzdem sicherer sein.

Nochmal etwas vereinfacht:
Im TPM liegt ein 48 Zeichen langes Passwort .
Das TPM gibt den Zugriff auf dieses Passwort nur nach Eingabe der korrekten PIN frei *
Das TPM sperrt den Zugriff nach jeder falschen PIN für einige Zeit und mit jedem fehlversuch erhöht sich die Zeit bis man es wieder versuchen kann.

Nutzt man bitlocker ohne TPM gibt es nichts was brute force Attacken verhindern kann


* stimmt technisch nicht ganz weil das Passwort selbst das TPM nie verlässt

Aber jeder wie er möchte
https://www.prajwaldesai.com/enable-bitlocker-encryption-windows-10/