.png)
Ich verwende derzeit Bitlocker auf zwei meiner Maschinen, die alle über TPMs verfügen. Anfangs wurde ich nie nach einer Authentifizierungsmethode vor dem Start gefragt, weil ich vergessen hatte, eine Gruppenrichtlinie zu bearbeiten, die dies aktivierte.
Jetzt habe ich das getan und kann eine von drei Optionen auswählen: -Geben Sie eine PIN ein -Stecken Sie einen USB-Stick ein -Lassen Sie Bitlocker meinen Stick automatisch entsperren
Ich war nicht zufrieden mit der Tatsache, dass ich in der PIN nicht nur Zahlen verwenden konnte, also habe ich in der Gruppenrichtlinie die erweiterte PIN aktiviert, die mir auch die Verwendung von Sonderzeichen ermöglicht. Aber im Ernst – ich würde gern ein viel längeres Passwort als nur 20 Zeichen verwenden.
Gibt es eine Möglichkeit, stattdessen die Option „Passwort eingeben“ zu erhalten? Mein Freund hat sie und wir konnten nicht herausfinden, warum sie für mich nicht da ist.
Ich wäre für jede Hilfe sehr dankbar.
Danke.
Antwort1
Das ist normal. Das angezeigte Menü ist nicht für eigenständige Schutzvorrichtungen gedacht – es sind tatsächlich die Optionen, die mit einer TPM-basierten Schutzvorrichtung einhergehen. Sie können zwischen „Nur TPM“, „TPM + PIN“ oder „TPM + Startschlüssel“ wählen.Dokumentation
Wenn Sie ein Passwort verwenden möchten, müssen Sie den TPM-Schutz entfernen und verwendennurein Passwort, was tatsächlich zu einer schwächeren Sicherheit führen kann, da die Daten nicht mehr hardwaregebunden sind. Sie sollten den manage-bde -protectorsBefehl dazu verwenden können.
aber im Ernst – ich würde gerne ein viel längeres Passwort als nur 20 Zeichen verwenden.
20 sollte genügen. TPM+PIN darf kürzer sein, da es hardwareseitig begrenzte Versuche gibt, ähnlich wie ein iPhone-Passcode.
Verschlüsselungskennwörter müssen lang sein, denn sobald jemand auch nur für wenige Minuten Zugriff auf Ihre Festplatte hat, kann er diese einfach kopieren. Und nichts hindert ihn daran, eine große Zahl von Kennwörtern mit der Kopie auszuprobieren.
Die PIN wird unterdessen vom TPM selbst überprüft – das Hardwaremodul gibt Ihnen nicht einfach einen Passwort-Hash; das einzige, was Sie mit einer PIN tun können, ist, sie zur Überprüfung an das TPM zu senden, und Sie erhalten entweder ein „Ja“ oder „Nein“ oder „Zu viele Versuche, versuchen Sie es in 10 Minuten erneut“.
Für Maschinen mit TPM 2.0 gilt die Standard-Ratenbegrenzung, wie sie von Windows konfiguriert wird.ist dokumentiertzu sein:
Windows 10 konfiguriert die maximale Anzahl auf 32 und die Wiederherstellungszeit auf 10 Minuten. Dies bedeutet, dass alle zehn Minuten kontinuierlichen Betriebs ohne ein Ereignis, das den Zähler erhöht, den Zähler um 1 verringern.
Nach den anfänglichen kostenlosen Versuchen stehen einem Angreifer also nur 144 Versuche pro Tag zum Erraten einer TPM-PIN zur Verfügung – im Vergleich zu Milliarden pro Tag zum Knacken eines Kennwort-Hashes.
(Was die Manipulationssicherheit angeht, ist ein billiges TPM wahrscheinlich nicht vollkommen kugelsicher, aber solange es nicht Bitcoins im Wert von mehreren Millionen speichert, ist wahrscheinlich alles in Ordnung. Und an diesem Punkt sollten Sie vielleicht darüber nachdenken, ob Ihr Passwort nicht in einen Hardware-Keylogger gelangt …)