Leider reicht es bei WIN10 nicht den/die Account(s) mit Kennwort zu schützen. Auf Youtube gibt es Anleitungen, wie man Zugang zu den Accounts bekommen kann, insofern das OS nicht verschlüsselt ist ;(
Hab es ausprobiert. Dauert keine 5 Minuten...

Wo ist jetzt die News? Das ist doch seit über 20 Jahren bekannt, dass ein Accountpasswort alleine absolut minimalen Schutz bietet. Ich hatte schon zu Win2000-Zeiten davon gelesen, dass die Accountpasswörter sehr schnell geknackt werden können, wenn man Zugang zur Hardware hat. Im Zweifel bootet man über ein Livesystem und bekommt so Zugang zu den Daten auch ohne Passwort.

Wenn man so etwas verhindern möchte, muss man seine Festplatte verschlüsseln und dann on-the-fly per Login beim Hochfahren entschlüsseln. Gilt übrigens nicht nur für Windows sondern für alle Betriebssysteme (Neuere Linuxdistributionen bieten bei der Installation an, so etwas zu machen). Hat einen Grund, warum Smartphonehersteller damit werben, dass die Daten automatisch verschlüsselt werden. Im Zweifel kommt ein Dieb dann nicht an die Daten dran, wenn er nicht irgendwie den Login aushebelt.

Hi,

und wo ist die News? :tongue:

Ist doch seit XP so... Boot-CD rein, Passwortresetttol gestartet, fertig...
Bei lokalem Zugriff ist immer "einfach" an Sachen dran zu kommen.

Nicht umsonst wird bei meinem AG Bitlocker verpflichtend auf den Notebooks vorgeschrieben.
Nur sollte man da natürlich auch regelmäßig Backups machen., da man mit Rep-Werkzeugen nicht mehr soviel reißen kann...

Und damit es nicht nur an Windows hängen bleibt. Es gilt genauso für alle mir bekannten Linux und Unix-Versionen. Lokale Accounts und Zugriff zur Hardware bedeutet keinerlei Schutz.

Snoopy69

Nee Heute kannst immerhin nimmer den Utilman.exe einfach durch die CMD.exe ersetzen per USB Bootstick ;).

Ist doch ne Verbesserung...

Doch, geht per USB-Stick. Hab es ja so probiert...

Zu weiter oben...
Wusste nicht, dass das so einfach geht


Und damit es nicht nur an Windows hängen bleibt. Es gilt genauso für alle mir bekannten Linux und Unix-Versionen. Lokale Accounts und Zugriff zur Hardware bedeutet keinerlei Schutz.
Daher sollte man ja verschlüsseln


Im Zweifel kommt ein Dieb dann nicht an die Daten dran, wenn er nicht irgendwie den Login aushebelt.
Falsch...
Er kommt an garnichts ran, wenn verschlüsselt. Da gibt es nichts, was er kopieren und umbenennen könnte (wie bei WIN10)

Ist doch ne Verbesserung...
Nö :D

Er kommt an garnichts ran, wenn verschlüsselt. Da gibt es nichts, was er kopieren und umbenennen könnte (wie bei WIN10)
Da glaub' mal dran...
In der Regel kommt man an verschlüsselte Systeme sehr gut mit "brute force" heran.

Klar, 2-Faktor-Autorisierung bei JEDER Anmeldung würde helfen... und ein Sperren des Systems nach drei Anmeldeversuchen.
Aber wer will das schon?
:weg:

Razor

P.S.: zuhause verschlüsseln macht nur wenig Sinn... da würde ich mir lieber ein besseres Schloss besorgen ;)

Falsch...
Er kommt an garnichts ran, wenn verschlüsselt. Da gibt es nichts, was er kopieren und umbenennen könnte (wie bei WIN10)
:uconf2:
Genau das habe ich gesagt? Ohne Login kommt man nicht an die Daten bei einem Smartphone, dass Verschlüsselung nutzt. Da gab's ja sogar mal Ärger zwischen Apple und dem FBI deswegen, weil Apple keine Hintertür eingebaut hat. (https://www.heise.de/mac-and-i/meldung/Nach-FBI-Anfrage-Apple-bekraeftigt-Nein-zu-iPhone-Entsperrung-und-Hintertueren-4630368.html)

Da glaub' mal dran...
In der Regel kommt man an verschlüsselte Systeme sehr gut mit "brute force" heran.

Klar, 2-Faktor-Autorisierung bei JEDER Anmeldung würde helfen... und ein Sperren des Systems nach drei Anmeldeversuchen.
Aber wer will das schon?
:weg:

Razor
Wenn wir hier über eine ordentlich implementierte Verschlüsselung ohne Hintertüren reden (z.B. AES-256), dann ist da mit brute force nicht groß was zu holen. Da muss man andere Wege finden, um das System auszutricksen. Oder die Brechstangenmethode verwenden, wenn man skrupellos genug ist. (https://xkcd.com/538/)

Genau das habe ich gesagt? Ohne Login kommt man nicht an die Daten bei einem Smartphone, dass Verschlüsselung nutzt. Da gab's ja sogar mal Ärger zwischen Apple und dem FBI deswegen, weil Apple keine Hintertür eingebaut hat. (https://www.heise.de/mac-and-i/meldung/Nach-FBI-Anfrage-Apple-bekraeftigt-Nein-zu-iPhone-Entsperrung-und-Hintertueren-4630368.html)
Genau... und deswegen gibbet ja auch die teure Box (die das FBI wohl nicht kaufen wollte ;-), die JEDES iPhone knackt.
Vollkommen egal, wie das Teil verschlüsselt oder geschützt wurde.

Razor

Genau... und deswegen gibbet ja auch die teure Box (die das FBI wohl nicht kaufen wollte ;-), die JEDES iPhone knackt.
Vollkommen egal, wie das Teil verschlüsselt oder geschützt wurde.

Razor
Keine Ahnung was diese Box macht, aber AES hat die bestimmt nicht geknackt, sonst gäbe es schon ganz andere Probleme auf der Welt.

Nö :D
Da glaub' mal dran...
In der Regel kommt man an verschlüsselte Systeme sehr gut mit "brute force" heran.
Von welcher Verschlüsselung reden wir?
Closed oder opensource?

Ist wohl das Ding gemeint (https://www.n-tv.de/technik/Kleine-Box-knackt-angeblich-jedes-iPhone-article20340674.html). Und die vermutlich dafür genutzte Schwachstelle soll seit 2018 nicht behoben worden sein?

Selbst wenn diese Box nach wie vor funktioniert, helfen PINs oder Passwörter mit zehn Stellen oder mehr schon viel und erhöhen massiv den Zeitaufwand für Angreifer – letztlich arbeitet das Ding ja auch nur mit Brute-Force.

Bei meinem iPad schalte ich übrigens immer den Datenschutzmodus an, der nach zehn falschen Passworteingaben das Gerät zurücksetzt und alle Daten löscht. Kann die Box das umgehen?

Edit: Apple Just Killed The 'GrayKey' iPhone Passcode Hack (https://www.forbes.com/sites/thomasbrewster/2018/10/24/apple-just-killed-the-graykey-iphone-passcode-hack/)

Funktioniert die Box auch, wenn USB im gesperrten Zustand des iPhones abgeschaltet ist?

Das braucht er nicht mal.
Wenn der Angreifer Hardwarezugriff hat und die Festplatte nicht verschlüsselt ist, einfach Festplatte ausbauen und von einem anderen System booten und fertig.

Er hat damit vollständigen Zugriff auf die Daten, das Originalsystem braucht man dafür niemals booten.

Das sollte eigentlich auch jedem mit ein wenig Hausverstand klar sein, dass eine unverschlüsselte Festplatte wenig bis gar keinen Schutz bietet, wenn jemand an diese kommen kann.

Da glaub' mal dran...
In der Regel kommt man an verschlüsselte Systeme sehr gut mit "brute force" heran.

Wenn die Passphrase nicht zufällig gewählt wurde und zu kurz ist, dann ja. Wenn sie zufällig erzeugt wurde und lang genug ist, dann ist Brute Force nicht praktikabel.

Genau... und deswegen gibbet ja auch die teure Box (die das FBI wohl nicht kaufen wollte ;-), die JEDES iPhone knackt.
Vollkommen egal, wie das Teil verschlüsselt oder geschützt wurde.
Ist wohl das Ding gemeint (https://www.n-tv.de/technik/Kleine-Box-knackt-angeblich-jedes-iPhone-article20340674.html). Und die vermutlich dafür genutzte Schwachstelle soll seit 2018 nicht behoben worden sein?

Selbst wenn diese Box nach wie vor funktioniert, helfen PINs oder Passwörter mit zehn Stellen oder mehr schon viel und erhöhen massiv den Zeitaufwand für Angreifer – letztlich arbeitet das Ding ja auch nur mit Brute-Force.

Genau, diese Box "knackt" kein iPhone, sondern umgeht eins der Sicherheitsfeatures der Secure Enclave. Die Secure Enclave erzeugt bei einer falschen Eingabe einen konstanten Zeitfaktor, bis man einen weiteren Versuch starten kann. Das sollte im Bereich von einigen hundert Millisekunden liegen und kann Brute-Force-Angriffe massiv verlangsamen.

Diese Box hilft nur dabei sehr kurze PINs per Brute Force rauszufinden. Gegen etwas längere, alphanumerische Passphrasen ist Brute Force trotzdem nicht praktikabel.

Funktioniert die Box auch, wenn USB im gesperrten Zustand des iPhones abgeschaltet ist?

Ich würde mich jedenfalls nicht darauf verlassen. Nimm einfach eine etwas längere (zufällig erzeugte) PIN. Nach Matthew Green scheint man ab zehn Ziffern in einem Bereich zu sein, der langsam unpraktikabel zu bruteforcen ist: https://twitter.com/matthew_d_green/status/985885001542782978

Wenn dir das nicht reicht, kannst du auch auf alphanumerische Passphrasen unter iOS switchen.

Snoopy69

Du nutzt Schlangenöl statt den Defender? Der blockt das nämlich inzwischen ...

Da musst abgesichert starten, damit das noch geht.

Razor

Ich hab kein Passwort für die Windowsanmeldung - viel sicherer... dann geht der ganze Remotekrempel nicht mehr ;).

Aber dafür auch hiesig verschlüsselt ...

@ Haarmann

Ein Win10-Installationsstick reicht...


@ lumines

Bei Bitlocker ohne TPM vergibst du kein Kennwort. Das macht das OS
Angeblich sind die 128 oder 256bit stark (ist wählbar). K.A. ob das auch wirklich so stark ist

@ Haarmann

Ein Win10-Installationsstick reicht...


Witzig - bei mir frass einst der Defender die Änderung gleich wieder - erst abgesichert liess ers durch. Kann dann auch eher nerven.

Wenn wir hier über eine ordentlich implementierte Verschlüsselung ohne Hintertüren reden (z.B. AES-256), dann ist da mit brute force nicht groß was zu holen. Da muss man andere Wege finden, um das System auszutricksen. Oder die Brechstangenmethode verwenden, wenn man skrupellos genug ist. (https://xkcd.com/538/)
Letztlich entscheidet die Passwort-Komplexität, nicht die Versschlüsselungsstärke.
Ich glaube, wir sind uns darüber einig, dass selbst 128Bit nur schwer im Homeoffice zu knacken ist ;)

Und klar, social engineering, ist heute eigentlich IMMER das Mittel der Wahl.

Keine Ahnung was diese Box macht, aber AES hat die bestimmt nicht geknackt, sonst gäbe es schon ganz andere Probleme auf der Welt.
Es umgeht (bzw. umging ;-) die Anmeldung, nicht die Verschlüsselung.

Wenn die Passphrase nicht zufällig gewählt wurde und zu kurz ist, dann ja. Wenn sie zufällig erzeugt wurde und lang genug ist, dann ist Brute Force nicht praktikabel.
Na dann zeig' mir doch mal nur einen Nutzer, der sein (Windows-)Passwort entsprechend lang und komplex wählt...
IMMER "sprechend", IMMER so kurz, wie möglich.

Ich hab kein Passwort für die Windowsanmeldung - viel sicherer... dann geht der ganze Remotekrempel nicht mehr ;).
Den Remotekrempel bekommt man anders deaktiviert :cool:
Kein Passwort ist nur im Single-Haushalt eine Option ;D

@all:

Nicht umsonst postuliert M$, dass der "PIN" zur Absicherung eines Gerätes (nicht einer Identität) vollkommen ausreichend ist.

Ergo: M$-Account mit maximal "sicherem" Passwort (zufällig, sehr lang) und zweitem Faktor.
Dies dann mit einem PIN auf dem Gerät sichern, der nach drei Falscheingaben die Gültigkeit verliert.

Damit ist dann auch die TPM-gestützte 256Bit-Verschlüsselung "sicher"... vermeintlich.

Razor

Nee Heute kannst immerhin nimmer den Utilman.exe einfach durch die CMD.exe ersetzen per USB Bootstick ;)
Das geht grundsätzlich auch heute noch, aber man muss fix sein. Nach dem kopieren hat man nur ein paar wenige Sekunden Zeit ein neues Passwort zu setzen, ehe UAC/Defender die Datei wieder zurücksetzt.

Bei Bitlocker ohne TPM vergibst du kein Kennwort. Das macht das OS

Moment, man bekommt den Recovery Key, der zufällig erzeugt wird. Ohne jetzt nachgeguckt zu haben, würde ich einmal vermuten, dass das der Schlüssel ist, mit dem das Volume von Bitlocker verschlüsselt wird. Dieser Schlüssel kann natürlich nicht im Klartext auf dem Rechner rumliegen und wird sehr wahrscheinlich mit einer Passphrase verschlüsselt, die du eingeben musst (wenn man die Option mit Passphrase gewählt hat). Man erzeugt den Schlüssel nicht selbst, aber man kann natürlich trotzdem eine Passphrase nutzen.

Angeblich sind die 128 oder 256bit stark (ist wählbar). K.A. ob das auch wirklich so stark ist

Es gibt nur AES mit 128, 192 oder 256 Bit, wobei die Blockgröße immer 128 Bit ist. Wenn AES draufsteht, kannst du davon ausgehen, dass es mindestens 128 Bit sind, weil alles andere nie standardisiert wurde. Weil Bitlocker natürlich auch von AES-NI profitiert, muss es normales AES sein.

Die Sicherheit einer Vollverschlüsselung hängt aber auch nicht primär mit der Blockgröße zusammen, solange es eine moderne Chiffre wie AES ist.

Mit einem TPM Modul wird der Schlüssel doch dort drin gespeichert und mit einem Kennwort nochmal gesichert?

Den Schlüssel hat man natürlich nochmal im Klartext vorliegen und damit kann man den ganzen PC auch ohne TPM Modul entsperren ?

Das geht grundsätzlich auch heute noch, aber man muss fix sein. Nach dem kopieren hat man nur ein paar wenige Sekunden Zeit ein neues Passwort zu setzen, ehe UAC/Defender die Datei wieder zurücksetzt.
Ich hatte überhaupt keine Probleme mit UAC/Defender...
Selbst, als ich eine Weile im Acc war. Ok, hab aber nicht nach geguckt, ob die umbenannte cmd.exe gelöscht wurde.
Aber eh wurscht, weil die echte cmd.exe noch existierte. Konnte alles ohne Probleme kopieren und umbenennen, weil ich die höchsten Systemrechte hatte (höher als Admin etc.)


Moment, man bekommt den Recovery Key, der zufällig erzeugt wird. Ohne jetzt nachgeguckt zu haben, würde ich einmal vermuten, dass das der Schlüssel ist, mit dem das Volume von Bitlocker verschlüsselt wird. Dieser Schlüssel kann natürlich nicht im Klartext auf dem Rechner rumliegen und wird sehr wahrscheinlich mit einer Passphrase verschlüsselt, die du eingeben musst (wenn man die Option mit Passphrase gewählt hat). Man erzeugt den Schlüssel nicht selbst, aber man kann natürlich trotzdem eine Passphrase nutzen.

Unter Recoverykey verstehe ich die angelegte *.txt-Datei mit dem 48-stelligen Key. Diese wird nur benötigt, wenn die *.bek-Datei verloren ging, nicht zur Hand oder defekt ist


Mit einem TPM Modul wird der Schlüssel doch dort drin gespeichert und mit einem Kennwort nochmal gesichert?

Den Schlüssel hat man natürlich nochmal im Klartext vorliegen und damit kann man den ganzen PC auch ohne TPM Modul entsperren ?
Wenn das OS zuvor auf einem System mit TPM verschlüsselt wurde, kann man soweit ich weiss, nicht mehr entschlüsseln. Dann braucht man den Recoverykey.

Also für den Fall, dass das TPM-Modul kaputtgehen sollte oder man das verschlüsselte Laufwerk auf einem anderen System benutzen will.


Ich benutze immer ohne TPM und ziehe den Stick nach dem Booten ab...
Irgendein User hier in 3DC hat es clever mit Truecrypt/Veracrypt gelöst
Dazu hat sich das System über einen "Tunnel" den Key von einer "entfernten" Fritzbox zum entschlüsseln gezogen
Die Fritzbox könnte quasi in Neuseeland stehen :freak:


Letztlich entscheidet die Passwort-Komplexität,
Ergo: M$-Account mit maximal "sicherem" Passwort (zufällig, sehr lang) und zweitem Faktor.
Dies dann mit einem PIN auf dem Gerät sichern, der nach drei Falscheingaben die Gültigkeit verliert.

Wo finde ich die Einstellung für die Gültigkeit?

Wenn das OS zuvor auf einem System mit TPM verschlüsselt wurde, kann man soweit ich weiss, nicht mehr entschlüsseln. Dann braucht man den Recoverykey.

Also für den Fall, dass das TPM-Modul kaputtgehen sollte oder man das verschlüsselte Laufwerk auf einem anderen System benutzen will.


Ich benutze immer ohne TPM und ziehe den Stick nach dem Booten ab...
Irgendein User hier in 3DC hat es clever mit Truecrypt/Veracrypt gelöst
Dazu hat sich das System über einen "Tunnel" den Key von einer "entfernten" Fritzbox zum entschlüsseln gezogen
Die Fritzbox könnte quasi in Neuseeland stehen :freak:



Wo finde ich die Einstellung für die Gültigkeit?


Ja bei mir habe ich bei TPM einen Key bekommen zum Booten ohne TPM oder defektem Modul.


Das Problem ist doch, das man den Schlüssel theoretisch beim Booten Verfügbar haben müsste ? Daher wenn du den Stick abziehst, wird der erst nach einem Neustart wieder gebraucht ?

Die Story habe ich aber auch mal gelesen, hatte ich nach dem lesen hier auch im Kopf. Fand die Idee gut.

Daher wenn du den Stick abziehst, wird der erst nach einem Neustart wieder gebraucht ?
Ja


Zur „erweiterten“ Authentifizierung...
Es gibt auch die Möglichkeit sich eine RFID-Kapsel in die „Schwimmhaut“ (zwischen Daumen und Zeigefinger) implantieren zu lassen :freak:

A pro pos „implantieren lassen“...
Für nicht mal 1€ Bekommt man 2 RFID-Spritzen (eigentlich gedacht, um Tiere zu chippen)
Selbst machen würde ich mich allerdings nicht trauen

Unter Recoverykey verstehe ich die angelegte *.txt-Datei mit dem 48-stelligen Key. Diese wird nur benötigt, wenn die *.bek-Datei verloren ging, nicht zur Hand oder defekt ist

Das ist ja nur eine der Optionen. Man kann auch den Volume Key mit einer Passphrase verschlüsseln. War mir nicht so klar, dass du den Schlüssel mit dir rumträgst.

Irgendein User hier in 3DC hat es clever mit Truecrypt/Veracrypt gelöst
Dazu hat sich das System über einen "Tunnel" den Key von einer "entfernten" Fritzbox zum entschlüsseln gezogen
Die Fritzbox könnte quasi in Neuseeland stehen :freak:

Besonders clever ist das eigentlich nicht. Damit reduziert er die Sicherheit seiner Vollverschlüsselung auf die physische Sicherheit seiner Fritzbox. Wahrscheinlich wird die auch nicht in Neuseeland stehen, sondern bei ihm zu Hause, was sich ja trivial anhand der IP, zu der er sich verbindet, herausfinden lässt.

Zur „erweiterten“ Authentifizierung...
Es gibt auch die Möglichkeit sich eine RFID-Kapsel in die „Schwimmhaut“ (zwischen Daumen und Zeigefinger) implantieren zu lassen :freak:

A pro pos „implantieren lassen“...
Für nicht mal 1€ Bekommt man 2 RFID-Spritzen (eigentlich gedacht, um Tiere zu chippen)
Selbst machen würde ich mich allerdings nicht trauen

Mir ist nicht so ganz klar, warum du denkst, dass man nur eine ausreichende Sicherheit erreicht, wenn man rohe Schlüssel mit sich rumschleppt. Das ist zum Glück nicht der Fall.

Wo finde ich die Einstellung für die Gültigkeit?
Hier erst mal zwei Links zur PIN:
https://docs.microsoft.com/de-de/windows/security/identity-protection/hello-for-business/hello-why-pin-is-better-than-password
https://www.windows-faq.de/2018/01/05/anmeldung-per-pin-einrichten-bei-windows-10/#:~:text=PIN%20Anmeldung%20einrichten&text=PIN-,ein.,zum%20%E2%80%9EPIN%E2%80%9C%20vornehmen%20k%C3%B6nnt

Wobei die PIN wie beschrieben per se schon recht gut gegen brute force Attacken gesichert ist.
Wem das nicht reicht, kann die Kontorichtlinien (per GPO) bemühen, um dies noch schärfer zu konfigurieren...

Wie geschrieben ist dies aber nur die erste Schwelle - richtig "sicher" wird das nur mit M$-Konto und 2-Faktor-Autorisierung.

Razor

Wie geschrieben ist dies aber nur die erste Schwelle - richtig "sicher" wird das nur mit M$-Konto und 2-Faktor-Autorisierung.

Warum sollte ich 2FA nutzen, wenn ich die Passphrase einfach um ein paar Zeichen länger machen kann? Wir reden hier ja von Vollverschlüsselung, nicht von einem Online-Dienst.

Aber generell habe ich sowieso das Gefühl, dass wir hier alle einander vorbeischreiben, weil es so viele unterschiedliche Möglichkeiten gibt Bitlocker zu nutzen.

Das PW vom M$-Konto kann ich ändern... egal wo und womit - 2FA, damit dies nicht jeder tun kann.
PIN mit "Ablaufdatum" um ein Gerät zu schützen.

Ergo: minimal komplexes PW für die Geräte-Entsperrung bei gleichzeitig maximal möglichem Zugriffsschutz.

Der einzige, der an den anderen vorbei schreibt, bist offenbar Du selbst.

Razor

Den Remotekrempel bekommt man anders deaktiviert :cool:
Kein Passwort ist nur im Single-Haushalt eine Option ;D
Razor

Dank Bitlocker musst beim Booten ja trotzdem eins eingeben ;).
Aber weder meine Frau noch ich haben Passwörter oder Lockscreens ... und das 7te Jahr ist auch hinter uns.

Leider sperrt M$ sehr gerne die Accounts ohne viel Federlesens ... das tue ich mir nicht an, wenn die Disk verschlüsselt ist.

Birdman

Als Berner ist mir das zu doof geworden und so lasse ich den abgesicherten Modus das für mich erledigen - jetzt gehts gaaanz gemütlich ;).

Warum sollte ich 2FA nutzen, wenn ich die Passphrase einfach um ein paar Zeichen länger machen kann? Wir reden hier ja von Vollverschlüsselung, nicht von einem Online-Dienst.

Aber generell habe ich sowieso das Gefühl, dass wir hier alle einander vorbeischreiben, weil es so viele unterschiedliche Möglichkeiten gibt Bitlocker zu nutzen.
:freak: :up:

Wie gesagt nutze ich Bitlocker ohne TPM nur mit USB-Stick...
Weiss jemand, wie lang das von Windows vergebene Kennwort XTS-256bit (verschlüsselt in der *.bek) ist? Ich weiss nicht, ob man das 1:1 übernehmen kann - bei "Keepass" ist das 256bit-built-in-Kennwort 64 Stellen lang.

Bei Windows-Konto ist mein Kennwort 16 Stellen lang...
Aber eig. bräuchte ich kein Kennwort, wenn ich Bitlocker vertrauen kann. Das ist, soweit ich weiss, nur angreifbar, wenn der PC läuft


btw:
Bei Macrium Reflect-Backups muss man aufpassen, weil die Backups unverschlüsselt gespeichert werden, wenn die Backups "online" (vom laufenden PC) gemacht werden. Da sollte man ein Kennwort im Macrium anlegen

Das PW vom M$-Konto kann ich ändern... egal wo und womit - 2FA, damit dies nicht jeder tun kann.
PIN mit "Ablaufdatum" um ein Gerät zu schützen.

Dank Bitlocker musst beim Booten ja trotzdem eins eingeben ;)

Was Haarmann schreibt.

Dass man die Windows-Anmeldung per 2FA sichern kann, ist sicher nett, aber eine Vollverschlüsselung ist sowieso nur im ausgeschalteten Zustand sicher. Und am Ende entscheidet nicht dein Windows-Kennwort oder 2FA darüber, wie viele Ressourcen jemand für einen Offline-Angriff aufwenden muss. Wenn man nicht den Key von MS speichern lässt, natürlich. Ich meine, dass das in den Home-Versionen von Windows einmal eine Option war.

Wie gesagt nutze ich Bitlocker ohne TPM nur mit USB-Stick...
Weiss jemand, wie lang das von Windows vergebene Kennwort XTS-256bit (verschlüsselt in der *.bek) ist? Ich weiss nicht, ob man das 1:1 übernehmen kann - bei "Keepass" ist das 256bit-built-in-Kennwort 64 Stellen lang.

Was meinst du mit "übernehmen"? In der *.bek-Datei sind eventuell noch Metadaten enthalten. Der Schlüssel darin muss aber logischerweise 256 Bit lang sein.

Wenn Keepass eine Passphrase mit 256 Bit Entropie in 64 Zeichen erstellt, dann wird das wahrscheinlich ein hexadezimaler Code sein. 64 hexadezimale Zeichen sind genau 256 Bit. Eine alphanumerische Passphrase erreicht ab 43 Zeichen schon 256 Bit (ab ca. 22 Zeichen für 128 Bit).

Ob man wirklich so eine hohe Entropie für die Passphrase braucht, würde ich aber einmal ganz stark in Frage stellen.

Bei Windows-Konto ist mein Kennwort 16 Stellen lang...
Aber eig. bräuchte ich kein Kennwort, wenn ich Bitlocker vertrauen kann. Das ist, soweit ich weiss, nur angreifbar, wenn der PC läuft

Das Windows-Kennwort hilft gegen unbefugte Windows-Logins, wenn Bitlocker dein Volume entschlüsselt hat, also wenn der PC läuft. Ganz ohne ist wahrscheinlich keine gute Idee, aber übermäßig komplex muss es dann natürlich auch nicht sein, ja.

Gar kein Passwort zu haben ist schon etwas doof.
Spätestens wenn man Besuch hat und mal ein Kasten Getränke kaufen gehen will (/muss), will man die Büchse auch mal sperren können. Und wenn schon die Rundum-Verschlüsselung aktiviert ist, dann werden die Daten wohl auch wichtig genug dafür sein.

Ich für mein Teil nutzte VeraCrypt, weil BitLocker auf Grund eines Windows-10-Bugs nicht sinnvoll verwendbar ist.
Das Windows-Kennwort ist mittellang, aber schnell einzutippen. Ein Microsoft-Konto kommt für mich nicht in Frage, da ich M$ nicht meine Handynummer geben will.

Was meinst du mit "übernehmen"? In der *.bek-Datei sind eventuell noch Metadaten enthalten. Der Schlüssel darin muss aber logischerweise 256 Bit lang sein.

Wenn Keepass eine Passphrase mit 256 Bit Entropie in 64 Zeichen erstellt, dann wird das wahrscheinlich ein hexadezimaler Code sein. 64 hexadezimale Zeichen sind genau 256 Bit. Eine alphanumerische Passphrase erreicht ab 43 Zeichen schon 256 Bit (ab ca. 22 Zeichen für 128 Bit).

Ob man wirklich so eine hohe Entropie für die Passphrase braucht, würde ich aber einmal ganz stark in Frage stellen.

Mit "übernehmen" meinte ich als Vergleich zwischen Bitlocker und Keepass...
Wenn "Keepass" bei 256bit-built-in ein Kennwort von 64 Stellen erstellt, sind es bei Bitlocker auch 64 Stellen für 256bit (also das, was Bitlocker erstellt)?

Weiter oben wird behauptet, dass Bitlocker knackbar ist...
Im laufenden Zustand ja, aber nicht, wenn der PC aus war
Es sei denn für Behörden gibt es eine Backdoor...


btw:
Schade ist, dass man Bitlocker-Laufwerke nicht mehr wiederherstellen kann, wenn diese versehentlich initialisiert wurden
Bei True-/VeraCrypt geht das...

Gar kein Passwort zu haben ist schon etwas doof.
Spätestens wenn man Besuch hat und mal ein Kasten Getränke kaufen gehen will (/muss), will man die Büchse auch mal sperren können. Und wenn schon die Rundum-Verschlüsselung aktiviert ist, dann werden die Daten wohl auch wichtig genug dafür sein.

Genau. Darum setze ich auch immer eines – ein starkes für Bitlocker/Veracrypt/LUKS vor dem Booten und ein schwächeres fürs OS selbst. Das OS-Passwort kommt aber nicht beim Windows-Start, sondern nur, wenn ich den PC sperre. Dafür reicht es.

Wenn "Keepass" bei 256bit-built-in ein Kennwort von 64 Stellen erstellt, sind es bei Bitlocker auch 64 Stellen für 256bit (also das, was Bitlocker erstellt)?

Kommt ganz darauf an, wie der Schlüssel serialisiert oder ganz allgemein kodiert ist.

Hexadezimale Zeichen haben pro Zeichen 4 Bit (weil log2(16) = 4). Alphanumerische Zeichen haben pro Zeichen ca. 6 Bit (weil log2(62) ≈ 6). Daher variiert die Anzahl der benötigten Zeichen. Am Ende vergleicht man immer die Entropie in Bit und das kann man natürlich beliebig umkonvertieren, um die Stärke vergleichbar zu machen.

Weiter oben wird behauptet, dass Bitlocker knackbar ist...
Im laufenden Zustand ja, aber nicht, wenn der PC aus war

Wenn der PC an ist, muss der (entschlüsselte) Volume-Key irgendwo im RAM liegen, damit das Volume entschlüsselt werden kann. Man muss also "nur" den Key aus dem RAM im laufenden, entsperrten Zustand auslesen. Im ausgeschalteten Zustand ist das natürlich nicht möglich. Unmöglich sind beide Zustände nie zu knacken, aber Offline-Angriffe (also im ausgeschalteten Zustand) sind natürlich signifikant schwieriger, weil man da nur mit roher Rechenleistung weiterkommt.

Gar kein Passwort zu haben ist schon etwas doof.
Spätestens wenn man Besuch hat und mal ein Kasten Getränke kaufen gehen will (/muss), will man die Büchse auch mal sperren können. Und wenn schon die Rundum-Verschlüsselung aktiviert ist, dann werden die Daten wohl auch wichtig genug dafür sein.

Ich für mein Teil nutzte VeraCrypt, weil BitLocker auf Grund eines Windows-10-Bugs nicht sinnvoll verwendbar ist.
Das Windows-Kennwort ist mittellang, aber schnell einzutippen. Ein Microsoft-Konto kommt für mich nicht in Frage, da ich M$ nicht meine Handynummer geben will.
Gut finde ich das OS automatisch über BT-Geräte zu sperren...
Also wenn man ausser Haus geht und man immer das Smartphone dabei hat, kann das OS gesperrt werden, wenn die BT-Verbindung abreisst :up:

Was ich bei True-/Veracrypt vermisse, dass man nicht, wie bei Bitlocker den Key auf einem Stick speichern kann
Da könnte man echt komplexe Kennwörter anlegen, die TC/VC einfach nur einlesen muss

Oder geht das mittlerweile?


btw:
Ich frage mich, was Bitlocker anders macht, dass Laufwerke viel performanter sind, als mit TC/VC
Bei Bitlocker hab ich quasi null Performanceeinbußen...

Was ich bei True-/Veracrypt vermisse, dass man nicht, wie bei Bitlocker den Key auf einem Stick speichern kann
Da könnte man echt komplexe Kennwörter anlegen, die TC/VC einfach nur einlesen muss

Am besten wäre eigentlich, wenn man gar keine Schlüssel hin und her kopieren müsste (was sicherheitstechnisch schon eher grenzwertig ist, wenn der Schlüssel einfach so auf einem USB-Stick liegt) und auf ein Challenge-Response-Verfahren ähnlich wie bei Fido / U2F / WebAuthn zurückgreifen könnte.

Ansonsten sind Passphrasen mit einer starken KDF eine gute Alternative. Ich weiß nicht so genau, was Bitlocker nutzt, aber ab 11 - 13 alphanumerischen Zeichen ist man bei modernen KDFs schon ganz gut dabei. Das kann man sich noch merken (was man bei einer Vollverschlüsselung wahrscheinlich können will) und man muss keine ungesicherten Schlüssel mit sich rumschleppen.

Vielleicht verstehe ich den Anwendungsfall auch nicht so ganz, aber rohe Schlüssel auf einem USB-Stick durch die Gegend zu schleppen hört sich für mich nach dem digitalen Gegenstück zu einer Sammlung von Passwörtern auf Post-Its an. Was so pauschal nicht einmal schlimm ist, wenn man sich über die Probleme damit im Klaren ist, aber viel besser ist es eben auch nicht. Im Grunde ist das sicherheitstechnisch nicht viel besser als den Recovery Key auf einem Stück Papier in der Hosentasche dabei zu haben, nur ein bisschen komfortabler als ihn jedes Mal einzutippen.

Ich frage mich, was Bitlocker anders macht, dass Laufwerke viel performanter sind, als mit TC/VC
Bei Bitlocker hab ich quasi null Performanceeinbußen...

Eigentlich sollte Vollverschlüsselung heute auch keine besonderen Performanceeinbußen haben, wenn man AES benutzt.

Ich mag TPM halt nicht, weil das OS an das System gebunden ist. Also einfach mit dem OS umziehen geht nicht. Ich will es flexibel haben...

Wenn mich jemand ausraubt, wird er wahrscheinlich weniger Interesse an einem USB-Stick haben :freak:

Zudem steht es mit ja frei, ob ich das OS noch mit einem PIN sichere (PreBoot)...
Dann wäre da noch der Windows-Acc mit seinem Kennwort

Wenn mich jemand ausraubt, wird er wahrscheinlich weniger Interesse an einem USB-Stick haben :freak:
Also der Polizei rückst du dein USB-Stick garantiert raus. Und so eine Durchsuchung geht schnell.
Sollte auch der Rechner einkassiert werden (Hausdurchsuchung), dann wird sie von der Forensik entschlüsselt (USB-Stick haben sie nun), mit Pech findet sich strafbares und der Rechner samt Zubehör wird eingezogen + evtl. saftige Strafe.

Man muss ja nicht mit Absicht was böses drauf haben, denn weil andauernd Gesetze verschärft werden, können Daten, die mal legal waren, plötzlich illegal sein.

Also: Wenn schon Rundum-Verschlüsselung, dann auch bullensicher, sonst macht das nur halb so viel Sinn.

Behörden sind ja etwas Anderes...
Ich meinte Diebe, Hackern, normale Bürger

Behörden sind ja etwas Anderes...
Ich meinte Diebe, Hackern, normale Bürger

Ein Dieb, Hacker oder normaler Bürger wird aber auch nicht mehrere hundert Millionen Euro investieren, um deine elf Zeichen lange Passphrase zu knacken. Ich kann nur immer wieder auf das scrypt-Paper verweisen: https://www.tarsnap.com/scrypt/scrypt.pdf

Einen USB-Stick zu klauen oder einfach nur den Schlüssel zu kopieren ist da schon sehr viel realistischer.

Ok, und was macht er dann damit, wenn das OS PreBoot mit PIN gesichert und zusätzlich noch der Win-Acc gesichert ist? :freak:

Behörden sind ja etwas Anderes...
Nicht wirklich. Die Polizei tut in diesem Fall exakt das, was ein Dieb auch tut: Dein Gerät gegen dein Willen mitnehmen und den Inhalt gegen Dich verwenden.
Nur dass die Polizei halt per Definition "gut" und ein Dieb per Definition "böse" ist - es kommt das gleiche raus: Nichts gutes.

Ok, und was macht er dann damit, wenn das OS PreBoot mit PIN gesichert und zusätzlich noch der Win-Acc gesichert ist? :freak:
Wenn du mit PIN nicht so ein 4-Stelligen Zahlencode meinst, wie man es von der EC-Karte oder SIM-Karte her kennt, sondern ein anständiges Passwort, dann passt es. :wink:

Ich habe damit gemeint, dass ich mit der Herausgabe an Behörden kein Problem hätte - wohl aber bei Dieben, Hackern etc...
Aber ob diese oder Behörden, wenn der PIN und das Kennwort lang genug sind, könnten beiden nichts damit anfangen

Notfalls geht's künftig bis zu sechs Monate in Beugehaft (https://www.heise.de/newsticker/meldung/Passwortherausgabe-SPD-Politiker-wirft-hirnrissigen-Gegnern-Taeterschutz-vor-4671722.html), wenn du das Passwort nicht herausrückst. Höchstwahrscheinlich auch wieder ein verfassungswidriges Gesetzesvorhaben, aber dahingehend hat die Groko ja Erfahrung und hatte noch nie Skrupel. :wink:

Fragt sich, was schlimmer ist - Beugehaft durch Behörden und Bedrohung des Lebens durch Diebe :freak:
Mehr als 6 Monate Beugehaft gibt es offiziell nicht...

Geht gerade irgendwie am Topic vorbei... :wink:

Ich bezog mich auf deine Aussage, dass Behörden ohne Entschlüsselungspasswort nichts mit der Hardware anfangen könnten. Wenn das Gesetz so durchkommen sollte, wäre das eben nicht so einfach – es sei denn, du könntest es dir beruflich und finanziell locker leisten, mal eben sechs Monate weggesperrt zu werden.

Notfalls geht's künftig bis zu sechs Monate in Beugehaft (https://www.heise.de/newsticker/meldung/Passwortherausgabe-SPD-Politiker-wirft-hirnrissigen-Gegnern-Taeterschutz-vor-4671722.html), wenn du das Passwort nicht herausrückst. :wink:
Die Herausgabe bezieht sich doch auf Telemediendiensten und vielleicht auf Online-Accounts, aber nicht auf Passwörter für Festplatten, oder sehe ich das falsch? Wenn ja, würde es mich freuen, wenn du Links zu Urteilen posten würdest, wo jemand tatsächlich das Passwort der Festplatte des beschlagnahmten Computers rausrücken musste.
EDIT: Sieht ganz so aus, als ob das Gesetz gar nicht durch ist. Ich kann da nach kurzer Recherche nix finden.

Ich schrieb ja, dass es ein Gesetzesvorhaben ist und künftig Beugehaft drohen könnte, wenn es durchkäme. Hätte mich da aber in der Tat etwas genauer ausdrücken können, denn im ersten Schritt geht's da tatsächlich um Passwörter von Online-Diensten, richtig. Wenn dieser für sich schon wahrscheinlich verfassungswidrige (https://strafrechtskanzlei-kolivas.com/news/gesetzesentwurf-herausgabe-von-passwoertern-oder-haft) Weg aber einmal geebnet ist, würde das sicher schnell auch auf lokale verschlüsselte Datenträger des Verdächtigen ausgeweitet werden, wenn es als für die Ermittlung dienlich erachtet wird. Und bis das BVerfG oder EU-Gerichte einschreiten, vergehen erfahrungsgemäß viele Jahre, wenn nicht Jahrzehnte – siehe die nicht totzukriegende Vorratsdatenspeicherung.

Ist man Zeuge und kein Verdächtiger, besteht die rechtliche Möglichkeit eines Bußgelds oder einer Beugehaft übrigens schon lange (https://www.heise.de/ct/artikel/Datentresor-289846.html), wenn man durch Nichtherausgabe von Passwörtern für lokale Datenträger die Ermittlungen behindert.

Ok, ich seh es, es ist nur ein Vorhaben, wo man nur spekulieren kann, wie weit in Wirklichkeit kommen wird.
Ich persönlich glaube eher, dass solcher Passwort-Herausgabezwang zukünftig eher indirekt über das Polizeiaufgabengesetz laufen wird, indem man die maximale Zeit des Polizeigewahrsams immer weiter hochgeschraubt wird. Sprich, "Du kommst erst raus, wenn wir das Passwort kennen". Ein direkter Angriff auf das Schweigerecht wäre momentan doch viel zu auffällig, während die Arbeit der Polizei jetzt schon kaum einer rechtsstaatlichen Kontrolle unterliegt (Dienstaufsichtsbeschwerde -> Kollegen ermitteln gegen Kollegen -> Zusammenhalt der Kollegen -> Vertuschung -> Freispruch).


Ist man Zeuge und kein Verdächtiger, besteht die rechtliche Möglichkeit eines Bußgelds oder einer Beugehaft übrigens schon lange (https://www.heise.de/ct/artikel/Datentresor-289846.html), wenn man durch Nichtherausgabe von Passwörtern für lokale Datenträger die Ermittlungen behindert.
Spätestens hier wäre ich interessiert, auch mal ein Urteil diesbezüglich lesen zu dürfen, wo jemand sein Passwort seiner Privatfestplatte nennen musste.
Spätestens wenn es sich um eine Privatfestplatte handelt, kann man doch mit Hilfe eines Anwaltes plausibel erklären lassen, dass der Zeuge Angst hat, dass sich strafrechtlich relevantes Material, das man als Zufallsfund entdecken könnte, auf der Festplatte befinden könnte.
Wie wir wissen, wurden Gesetze mehrmals verschärft und Gesetze werden immer weiter verschärft. So manche Kunst, Sprich "unbekleidete junge Mädels", die früher mal legal waren, sind heute oder zukünftig womöglich illegal. Oder die Blockchain: Jemand hat mal Fragmente von Kinderpornografie hochgeladen. Ob der Besitz der Blockchain = Besitz von Kinderpornografie ist, obwohl man ein Programm braucht, der diese KiPo wieder zusammensetzt, ist bis heute ungeklärt. Wer mal sich mit Blockchain beschäftigt hat, könnte ein Problem kriegen. Daraus lässt sich mit einem Anwalt auch als Zeuge ein Aussageverweigerungsrecht konstruieren.

Fazit: Früher oder später werden wir wohl zusätzlich noch "Plausible Deniability" brauchen. Und falls in ferner Zukunft das Schweigerecht/die Unschuldsvermutung ganz begraben ist, und wir wieder im Mittelalter sein sollten, dann haben wir ganz andere Probleme: Eine neue "Hexenjagd", fern ab der IT, wo jeder zu jeder Zeit unschuldig in den Knast wandern kann.

Aber das ist alles Zukunftsmusik.

Dank Bitlocker musst beim Booten ja trotzdem eins eingeben ;).
Aber weder meine Frau noch ich haben Passwörter oder Lockscreens ... und das 7te Jahr ist auch hinter uns.
Bei Bitlocker braucht's kein Passwort... es sei denn Du redest von Prä-UEFI/TPM-Zeiten.

Und was Eure Beziehung angeht, hoffe ich, dass diese auch weiterhin "ohne" Bestand hat.
Ich bin der Meinung, dass es auch nach Jahren noch "Geheimnisse" geben sollte - wird ja sonst langweilig, gell? ;)

Leider sperrt M$ sehr gerne die Accounts ohne viel Federlesens ... das tue ich mir nicht an, wenn die Disk verschlüsselt ist.
Habe ich noch nie von gehört... klar, wenn "Illegalitäten" der Grund wären.
Aber mit den Jungs von M$ kann man reden, was mit anderen Anbietern durchaus schwierig werden kann.

Hat Du Google mal klar machen müssen, dass eine Marketing-Angestellte nicht mehr in der Firma arbeitet und deswegen das zugehörige Firmenkonto nebst aller darauf registrierten Dienste gelöscht werden müssen? Hat Tage/Wochen gedauert und mir einige graue Haare mehr eingebracht :(

Ich mag TPM halt nicht, weil das OS an das System gebunden ist. Also einfach mit dem OS umziehen geht nicht.
Natürlich geht das...

Razor

Habe ich noch nie von gehört... klar, wenn "Illegalitäten" der Grund wären.
Aber mit den Jungs von M$ kann man reden, was mit anderen Anbietern durchaus schwierig werden kann.

Ist jetzt aber auch nicht so schwer zu finden:
https://www.borncity.com/blog/2020/07/14/achtung-tretmine-microsoft-konto-willkrliche-sperre-bei-online-funktionen/
https://www.golem.de/news/microsoft-digitale-amnesie-durch-willkuerliche-kontensperrungen-2008-150217.html
https://www.drwindows.de/news/wird-die-nutzung-eines-microsoft-kontos-zum-unkalkulierbaren-risiko

Und oft lässt Microsoft auch nicht mit sich reden.

Bei Bitlocker braucht's kein Passwort... es sei denn Du redest von Prä-UEFI/TPM-Zeiten.

Und was Eure Beziehung angeht, hoffe ich, dass diese auch weiterhin "ohne" Bestand hat.
Ich bin der Meinung, dass es auch nach Jahren noch "Geheimnisse" geben sollte - wird ja sonst langweilig, gell? ;)

Ich trage auch verschlüsselte Datenträger rum ... und ich mags eben, wenn man am Anfang ein Passwort eingeben muss...
Weil gleich auch noch das BIOS vernageln zu müssen - was eh oft ausgehebelt werden kann - ist imo sinnfrei.

Schon das ich meine Telefonnummer gebe ich nicht an - geht eine Firma, mit denen ich keine einzige Geschätztbeziehung pflege und pflegen will einfach nix an.

Telefone sind ohnehin eine nutzlose Erfindung - jeder meint irgendwie er sei wichtig... aber das Gebimmel nervt und die doofen hochdeutsch schwafelnden Tussen, die einem stetig über CH Krankenkassen beraten wollen, könnt ich problemlos mit ihrem Headset füttern...

Daher - keine Daten nach Übersee = weniger Probleme... ich nutze auch mein Android ohne Google Play Dienste und Google Konto - geht ganz gut auch so.

Natürlich geht das...

Mit dem Rec-Key meinst du wohl


btw:
Ist zwar nicht das Thema, aber kennt sich jmd sehr gut mit TC/VC aus?
Wenn man ein Laufwerk mit TC verschlüsselt hat, kann man das mit VC "konvertieren", dass es damit läuft

Aber ist so ein "konvertiertes" Laufwerk (von TC zu VC) genauso "sicher", wie ein Laufwerk, das von Anfang an mit VC verschlüsselt wurde?

TL ; DR: VC security > TC security.

Einfach ausgedrückt:
TrueCrpyt macht: AES256-KEY = HASH(Password)
VeraCrypt macht: AES256-KEY = HASH(HASH(HASH(HASH(HASH(...(HASH(PASSWORD))...))))

VeraCrypt macht also viel mehr Runden, um den AES256-KEY zu ermitteln. Mehr Runden bedeutet mehr Sicherheit, weil man beim Brute-Force pro Versuch mehr Rechenpower aufwenden muss.

Sofern du den Passwort-Hashing-Algorithmus auf das Niveau von VeraCrypt gehoben hast, ist auch das entsprechende Sicherheitniveau gewährleistet. Nur kann TrueCrypt dann nix mehr damit anfangen.

Außerdem wird VeraCrypt weiterentwickelt und Bugs werden behoben. Allerdings gelten verschlüsselte TrueCrypt-Volumes heute noch als praktisch unknackbar, sofern das Passwort gut genug ist und gerade nichts gemountet ist.

Ok, danke aber es beantwortet meine Frage nicht konkret
Ich wollte nur wissen, ob die Daten nach einer Knvertierung von TC zu VC "unsicherer" sind, als ein Laufwerk, das von Anfang an mit VC verschlüsselt wurde

Ich frage deshalb, weil die "Konvertierung" sehr schnell geht. Also wird physikalisch nichts an den verschlüsselten Daten verändert. Es wird wahrscheinlich nur der Header konvertiert

Und ja, nach der Konvertierung kann kann TC nichts mehr mit den Daten anfangen. Aber es gibt einen "Trick" (habe ich vor Jahren mal herausgefunden)

Alles nur Theorie... auch Bitlocker wurde noch nie geknackt, TC schon, Passphrase zu einfach.
Das gute an Bitlocker ist schlicht der Umstand, dass "brute force" einfach vollkommen sinnfrei ist.

Bei den Container-Geschichten gibt es immer das Problem, dass sich das Zeug mit einer 1:1 Kopie virtualisieren lässt.
Und dann kann ich ggf. ein ganzes Rechenzentrum oder auch BotNets drauf los lassen...

Mit TPM-geschützten Systemen wird das sehr, sehr schwierig, wenn auch nicht vollkommen unmöglich ;)

Und oft lässt Microsoft auch nicht mit sich reden.
2x Born und der Verweis auf "Dr. Windows"... 3 "Artikel" aus einer Quelle.
Dies bei hunderten von Millionen Nutzern bei Microsoft.
Ein "Sturm im Wasserglas"?

Ich würde mal frech behaupten, die "40 Fälle" wissen ganz genau, warum sie gesperrt werden.
Ich kenne einen Fall in meinem Umfeld, der mehrfach von M$ auf Verstöße gegen die Geschäftsbedingungen hingewiesen wurde - mit Begründung!
Nachdem diese alle ignoriert wurden, kam eine Sperre.

Würde das Problem größer sein, wie Du behauptest, dann gäbe es "mehr" Berichte darüber, meinst Du nicht?
(und nicht nur einen einzigen, wie es scheint)

@Haarmann

Du willst keine Geschäftsbeziehung mit M$ eingehen, nutzt aber deren Produkte?
Schon mal ein interessanter Ansatz *kopfkratz*

Das mit der "Telefonie" (und damit gleich dieser ganze Messenger-Kram!) sehe ich ähnlich.
Aber das lässt sich ja ganz leicht mit 'ner 2. SIM umgehen - kostet quasi nichts, tut der privacy aber auch keinen Bärendienst ;)

Ansonsten wird da nichts im "Bios vernagelt"...
Oder was meinst Du, wofür die "kleine" Boot-Partition bei Pro und Enterprise angelegt wird?

Dass man den Key nach Verschlüsselung irgendwo gut aufheben sollte, versteht ja wohl von selbst.
(habe den vom Notie sogar ausgedruckt - sieht "nett" aus ;-)

Razor

Es wird wahrscheinlich nur der Header konvertiert

Update des Headers reicht aus, um die Verschlüsselung des Primärschlüssels gegen Hashattacken durch neue Hashverfahren (oder mehr Iterationen) zu härten.
Neuverschlüsselung der Daten wäre nur erforderlich, wenn das Verschlüsselungsverfahren (angenommen AES-256) unsicher geworden wäre und ein neues Verfahren verwendet werden müsste. Da wäre es dann völlig egal, was im Header steht.

Gut zu wissen, denn TestCrypt kann mit VeraCrypt-Verschlüsselung nichts anfangen, wenn zb die Partitionstabelle zerschossen wurde. Aber es gibt, ja einen Trick, um doch die Daten retten zu können

Razor

Ich verkaufe auf Wunsch jeweils Office mit PKC - Home und Business - aber übergebe sozusagen nur die Karte und gut.

Dazu habe ich stapelweise DSP Pakete von Windows 10 pro hier liegend - kommt auf die neuen Rechner, wenn denn nötig (oft ist ja was dabei).

Home verkaufe ich nicht - den Dreck braucht imo keine Sau.

Dazu Server DSPs

Daher keine Bindung an M$. Die kauf ich ja nie bei denen ein und in der Schweiz gleich nochmals nicht ... die Mondpreise sollen gerne andere blechen.

Dinge wie SPLA bringen mich nur zum lachen ... lernte wen kennen, der hat letzten Endes den Erlös zu 75% M$ gegeben dank SPLA - wie doof kann man nur sein ;).
Danach nen Briefkasten in Dubai gemietet und SPLA im Briefkasten bezogen... und simsalabim - es ward billig ;).

P.S. Ich würde das BIOS vernageln ... ich sehe immer bei Updates, wie M$ locker flockig rebooten kann ohne erneute PW Eingabe - eigentlich eigenartig - aber offenbar machbar. Da schwant mir nichts Gutes.

P.S. Ich würde das BIOS vernageln ... ich sehe immer bei Updates, wie M$ locker flockig rebooten kann ohne erneute PW Eingabe - eigentlich eigenartig - aber offenbar machbar. Da schwant mir nichts Gutes.
Für Updates braucht MS dein Kennwort nicht, weil dein Profil nicht geladen werden muss