Bitlocker ohne TPM über USB-Stick + Passwort sichern unter W10 möglich?
Hallo,
ich habe ein Notebook mit W10 ohne TPM und möchte hier Bitlocker aktivieren.
In den Gruppenrichtlinien hab ich den entsprechenden Eintrag gesetzt.
Nun wird mir bei der Aktivierung ja angeboten, entweder ein USB-Stick oder ein Passwort zu benutzen.
Ich möchte aber beides, allerdings nicht entweder oder, sondern in Abhängigkeit.
Soll heissen, der USB-Stick muss drin sein UND das Passwort muss auch eingegeben werden.
Geht das?
Vielen Dank vorab.
Alex
ich habe ein Notebook mit W10 ohne TPM und möchte hier Bitlocker aktivieren.
In den Gruppenrichtlinien hab ich den entsprechenden Eintrag gesetzt.
Nun wird mir bei der Aktivierung ja angeboten, entweder ein USB-Stick oder ein Passwort zu benutzen.
Ich möchte aber beides, allerdings nicht entweder oder, sondern in Abhängigkeit.
Soll heissen, der USB-Stick muss drin sein UND das Passwort muss auch eingegeben werden.
Geht das?
Vielen Dank vorab.
Alex
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 479707
Url: https://administrator.de/forum/bitlocker-ohne-tpm-ueber-usb-stick-passwort-sichern-unter-w10-moeglich-479707.html
Ausgedruckt am: 29.04.2025 um 23:04 Uhr
6 Kommentare
Neuester Kommentar
Moin.
Nein, das geht nicht. Diese Kombi geht nur mit zusätzlichem TPM.
Nein, das geht nicht. Diese Kombi geht nur mit zusätzlichem TPM.
Echt jetzt?
Ich hatte gestern schon mal recherchiert dazu und bin auf das hier gestossen:
https://security.stackexchange.com/questions/88886/bitlocker-usb-key-vs- ...
Ich hab dann ein paar Dinge probiert über die Konsole, habs aber nicht hinbekommen und dachte ich mach was falsch.
Ich hatte gestern schon mal recherchiert dazu und bin auf das hier gestossen:
https://security.stackexchange.com/questions/88886/bitlocker-usb-key-vs- ...
Why not both? If you enable BitLocker to without a TPM (group policy editor), then tell it to use "TPMAndPINAndStartupKey", it should require both the file-based startup key and the PIN (which, if you enable "Enhanced PINs" in group policy editor, can be actual passphrases). Ich hab dann ein paar Dinge probiert über die Konsole, habs aber nicht hinbekommen und dachte ich mach was falsch.
Ja, echt jetzt 
Der Gedanke ist der: Kennwörter bei Bitlocker sind nicht so sicher wie TPM-PINs, da die PINs eben das TPM "aufschließen" und den echten, starken Schlüssel abrufen, welcher im TPM gespeichert ist. Zudem kannst Du PINs nur 32 mal versuchen zu erraten, dann folgt der TPM-Lockout. Deswegen sind PINs sicherer.
Kennwörter kannst Du beliebig häufig probieren, somit wäre jemand, der im Besitz des Sticks gelangt ist, in der Lage, beliebig lange zu bruteforcen.
Verständlich, warum Microsoft das nicht erlaubt? Es ergibt einfach keinen Sinn.
Der Gedanke ist der: Kennwörter bei Bitlocker sind nicht so sicher wie TPM-PINs, da die PINs eben das TPM "aufschließen" und den echten, starken Schlüssel abrufen, welcher im TPM gespeichert ist. Zudem kannst Du PINs nur 32 mal versuchen zu erraten, dann folgt der TPM-Lockout. Deswegen sind PINs sicherer.
Kennwörter kannst Du beliebig häufig probieren, somit wäre jemand, der im Besitz des Sticks gelangt ist, in der Lage, beliebig lange zu bruteforcen.
Verständlich, warum Microsoft das nicht erlaubt? Es ergibt einfach keinen Sinn.
Naja, wenn aber nun kein TPM vorhanden ist, dann kann ich ja entweder die USB-Stick Methode ODER das Kennwort wählen beim einrichten. Dann wäre doch das ganze in Abhängigkeit ja allemal besser als nur eins davon.
Ein bißchen besser schon, ohne Zweifel. Dennoch hat sich Microsoft dagegen entscheiden und da gibt es nichts dran zu rütteln. Was Du in Foren findest, stammt von leuten, die leider fehlinformiert sind: es gibt ohne TPM keinen Weg, Kennwort+USB zu fordern.
Ok, dankeschön.
