Windows 11 und Bitlocker Länge von PW

[Chibi88]

Dennoch. Die meisten Menschen sollten einen 4er PIN setzen. Wenn ich das richtig gelesen habe, kann man diesen PIN aber trotzdem Bruteforcen, wenn auch nur mit 30-40 versuchen und man dann 2 Stunden warten muss. Die Möglichkeit mit heutiger Rechenpower ne Zahlenkombi aus 4 zu bruteforcen sollte doch relativ schnell gehen. Man vergibt ja auch so keine kurzen Passwörter mehr. Vielleicht habe ich hier einen Denkfehler.

 

[cloudman]

Also auf unseren Firmenlaptop sind 6 stellige PINS vergeschreiben und unsere IT nimmt Sicherheit ziemlich ernst. Das einzige Problem, dass ich damit sehe ist das 6 stellige PINS geradezu dazu einladen ein Geburtsdatum zu verwenden. Aber da es dir nur um deine eigenens Gerät geht wirst du wohl kaum so dämlich sein

TPM Lockout ist auch konfiguriert: https://docs.microsoft.com/en-us/windows/security/information-protection/tpm/manage-tpm-lockout

Die Frage ist auch wovor man sich eigentlich schützen möchte. Bei uns in der Firma gestohlene / verloren laptops (kommt bei uns leider gar nicht so selten vor - meistens irgendwo verloren ). Wären das bisherige Setup ein wirkliches Problem hätten wir bestimmt schon strengere Vorgaben zur PIN bekommen.

 

[BlubbsDE]

Gibt man den PIN nen paar mal falsch ein, muss der Recovery Key eingegeben werden. Nix mit Brutforce. Das Verfahren ist schon sicher.

 

[katzenhai2]

Wenn du das TPM mit einer PIN sicherst, dann gibt das TPM den Key erst raus nachdem es den richtigen PIN (bzw. Passwort) erhalten hat. Brute-force wird dadurch unterbunden, dass das TPM sich merkt wie oft bereits ein fehlerhafter PIN eingegeben wurde. Wird die Maximalanzahl überschritten macht das TPM dicht und lässt keine weiteren Versuche zu.

Da war doch mal was, dass TPMs leicht knackbar seien, wenn man Zugriff zum Gerät habe? (Über den LPC Bus). Ist das die Variante, die Du beschreibst, mit dem Mitlesen des Keys?
https://www.zdnet.com/article/new-bitlocker-attack-puts-laptops-storing-sensitive-data-at-risk/

Wenn ich das hier richtig verstehe benötigt man dazu aber nicht die PIN.

 

[cloudman]

Aus dem von dir zitiertem Artikel :

Both the researcher and Microsoft recommend using a BitLocker PIN, which is a password required even before the OS boots, a protection that should prevent the BitLocker keys from reaching the TPM and getting sniffed using this new attack.

 

[Darkman.X]

Dennoch. Die meisten Menschen sollten einen 4er PIN setzen. Wenn ich das richtig gelesen habe, kann man diesen PIN aber trotzdem Bruteforcen, wenn auch nur mit 30-40 versuchen und man dann 2 Stunden warten muss. Die Möglichkeit mit heutiger Rechenpower ne Zahlenkombi aus 4 zu bruteforcen sollte doch relativ schnell gehen. Man vergibt ja auch so keine kurzen Passwörter mehr. Vielleicht habe ich hier einen Denkfehler.

Laut TPM-Dokumentation bei MS ist 6-stellige PIN heute Standard. Das sind 1.000.000 mögliche Kombinationen. Wir gehen mal davon aus, dass mit 33% der Versuche die PIN erraten wird, also nur noch 333.333 Kombinationen.

Mit einem aktuellen Win10 sind 32 Falsch-Eingaben möglich, bevor TPM sich sperrt. Alle 10min wird eine Falsch-Eingabe gelöscht, also braucht es 320min (ich nenn es mal "Intervall"), um alle Falsch-Eingaben zu löschen.

Das heißt: Bei 333.333 Versuchen werden 10.416 Intervalle benötigt (abgerundet). 10.416 Intervalle * 320min pro Intervall = 3.333.120min Dauer = ca. 6,3 Jahre Dauer. Das ist nicht viel, aber für einen Privat-User wohl ausreichend.

Man kann per GPO auch die alten Werte einstellen: 32 Falsch-Eingaben möglich und alle 2 Stunden wird eine Falsch-Eingabe gelöscht (=64 Stunden pro "Intervall"). Da hätte man mit einer 6-stelligen PIN einen Schutz von 76 Jahren.

Und dann kommst du mit der Aussage an, dass ein 20-stelliges Passwort (was man per GPO auch aktivieren kann) zu kurz sei? Selbst wenn das Passwort nur aus Ziffern bestehen würde UND der Attacker nur 20-stellige Passwörter testet (also 19, 18, 17-stellig usw. auslässt) UND man schon nach 33% aller möglichen Kombinationen das Passwort per Bruteforce errät, bräuchte man Millionen von Jahren für diese Aktion.


EDIT: Natürlich immer unter der Voraussetzung, dass TPM fehlerfrei arbeitet und es auch keine Hintertüren gibt, speziell bei fTPM. Ich will damit nicht sagen, dass es Hintertüren gibt, aber man weiß ja nicht, ob Intel/AMD vielleicht irgendwelche Auflagen von der US-Regierung/-Geheimdienste hatten... * Alu-Hut aufsetz *

EDIT 2: Ich habe nach knapp 2 Jahren den Text um einen kleinen Fehler korrigiert. Ich ging da von 31 Falsch-Eingaben und einem kompletten Reset nach 310 Min. aus. Aber es sind 32 Falsch-Eingaben und dementsprechend 320 Min. Keine Ahnung wie ich damals auf 31 kam? Selbst auf der MS-Seite steht 32.