Notebook Sicherheit - Truecrypt Full Disk Enryption oder nur HDD Passwort?
Hallo zusammen,
ich möchte mein Windows XP Notebook (Core i3 M350, 2 GB RAM) bzw. die Daten darauf schützen.
Ich reise viel und bei Verlust möchte ich die Daten nicht gleich "öffentlich" wissen.
TrueCrypts Full Diskencryption scheint mir interessant. Ich bin allerdings nicht sicher ob das im Betrieb auch einigermaßen schnell und zuverlässig läuft.
Alternativ würde ich "nur" ein HDD Passwort setzen, wie ich es bisher mache. Ist das denn leicht zu knacken/entfernen?
Kann "einfach" der Controller der HDD gegen einen ohne Passwort getauscht werden?
Was sind eure Erfahrungen?
ich möchte mein Windows XP Notebook (Core i3 M350, 2 GB RAM) bzw. die Daten darauf schützen.
Ich reise viel und bei Verlust möchte ich die Daten nicht gleich "öffentlich" wissen.
TrueCrypts Full Diskencryption scheint mir interessant. Ich bin allerdings nicht sicher ob das im Betrieb auch einigermaßen schnell und zuverlässig läuft.
Alternativ würde ich "nur" ein HDD Passwort setzen, wie ich es bisher mache. Ist das denn leicht zu knacken/entfernen?
Kann "einfach" der Controller der HDD gegen einen ohne Passwort getauscht werden?
Was sind eure Erfahrungen?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 160455
Url: https://administrator.de/forum/notebook-sicherheit-truecrypt-full-disk-enryption-oder-nur-hdd-passwort-160455.html
Ausgedruckt am: 23.12.2024 um 13:12 Uhr
12 Kommentare
Neuester Kommentar
Hallo,
beim Festplattenpasswort kommt es auf die Passwort Länge an!
Hier ein Auszug aus einem Artikel (linkn am Ende)
Rechenbeispiel: Ein 6-stelliges Passwort in 6,8 Sekunden Gehen wir davon aus, dass Ihr Passwort die durchschnittliche Länge von 6 Zeichen hat und - wie oft der Fall - nur aus Kleinbuchstaben besteht. Das bedeutet, es kann aus 26 verschiedenen Zeichen bestehen, was bei 6 Zeichen Passwortlänge insgesamt 308.915.776 (also fast 309 Millionen) Kombinationen zulässt. Das hört sich zunächst nach sehr viel an, doch sind beispielsweise mit dem handelsüblichen Core 2 Quad Q6600, der auf 3 GHz übertaktet wurde, 45.423.600 Tastenanschläge pro Sekunde möglich. Schwächere CPUs mit weniger Kernen erreichen leicht immerhin die Hälfte davon. Für das 6 Zeichen lange Kennwort benötigt die Quad-CPU lediglich 6,8 Sekunden. Besteht Ihr Kennwort aber aus Klein- und Großbuchstaben und Zahlen, gibt es bei 6 Zeichen schon 56.800.235.584 Kombinationsmöglichkeiten. Um das Passwort zu knacken rechnet die Quad-CPU jetzt rund 21 Minuten. Bei 7-stelligen Passwörtern werden aus den 21 Minuten fast 22 Stunden. Für 8 Zeichen würde unsere Quad-CPU fast 2 Monate brauchen; für 10 Zeichen fast 600 Jahre. Sonderzeichen und jede weitere Stelle verlängern die Berechnung um ein Vielfaches. Warum Brute-Force trotzdem immer beliebter wird Rechner werden immer schneller und stemmen die Berechnungen in immer kürzerer Zeit. Außerdem geht der Trend hin zu Grafikkarten, die diese Aufgabe noch schneller erledigen. Zudem stellt unsere Rechnung nur die maximale Berechnungsdauer dar, wenn also die gesuchte Kombination zufällig die letzte aller berechneten Möglichkeiten ist. Der Zufall könnte bereits die erste berechnete Kombination zum Volltreffer werden lassen, was allerdings extrem unwahrscheinlich ist.
http://www.pcwelt.de/ratgeber/So-lange-dauert-das-Passwort-Knacken-Ratg ...
brammer
beim Festplattenpasswort kommt es auf die Passwort Länge an!
Hier ein Auszug aus einem Artikel (linkn am Ende)
Rechenbeispiel: Ein 6-stelliges Passwort in 6,8 Sekunden Gehen wir davon aus, dass Ihr Passwort die durchschnittliche Länge von 6 Zeichen hat und - wie oft der Fall - nur aus Kleinbuchstaben besteht. Das bedeutet, es kann aus 26 verschiedenen Zeichen bestehen, was bei 6 Zeichen Passwortlänge insgesamt 308.915.776 (also fast 309 Millionen) Kombinationen zulässt. Das hört sich zunächst nach sehr viel an, doch sind beispielsweise mit dem handelsüblichen Core 2 Quad Q6600, der auf 3 GHz übertaktet wurde, 45.423.600 Tastenanschläge pro Sekunde möglich. Schwächere CPUs mit weniger Kernen erreichen leicht immerhin die Hälfte davon. Für das 6 Zeichen lange Kennwort benötigt die Quad-CPU lediglich 6,8 Sekunden. Besteht Ihr Kennwort aber aus Klein- und Großbuchstaben und Zahlen, gibt es bei 6 Zeichen schon 56.800.235.584 Kombinationsmöglichkeiten. Um das Passwort zu knacken rechnet die Quad-CPU jetzt rund 21 Minuten. Bei 7-stelligen Passwörtern werden aus den 21 Minuten fast 22 Stunden. Für 8 Zeichen würde unsere Quad-CPU fast 2 Monate brauchen; für 10 Zeichen fast 600 Jahre. Sonderzeichen und jede weitere Stelle verlängern die Berechnung um ein Vielfaches. Warum Brute-Force trotzdem immer beliebter wird Rechner werden immer schneller und stemmen die Berechnungen in immer kürzerer Zeit. Außerdem geht der Trend hin zu Grafikkarten, die diese Aufgabe noch schneller erledigen. Zudem stellt unsere Rechnung nur die maximale Berechnungsdauer dar, wenn also die gesuchte Kombination zufällig die letzte aller berechneten Möglichkeiten ist. Der Zufall könnte bereits die erste berechnete Kombination zum Volltreffer werden lassen, was allerdings extrem unwahrscheinlich ist.
http://www.pcwelt.de/ratgeber/So-lange-dauert-das-Passwort-Knacken-Ratg ...
brammer
Zitat von @chgr:
Danke für den Tipp. Welche Verschlüsselungsart sollte ich bei Truecrypt Full Disk Enryption optimalerweise denn
wählen? (Sicherheit vs Performance?)
Kann es denn sein, dass z.B. Virenscanner und Truecrypt sich gegenseitig beeinflussen oder läuft Truecrypt noch
"tiefer"`im System als der Virenscanner?
Noch zum HDD Passwort: Lässt sich das denn per Software aushebeln oder braucht es zumindest einen Hardwareumbau an der HDD
selbst, dann würde ich ggf. die Gefahr eingehen?
Danke für den Tipp. Welche Verschlüsselungsart sollte ich bei Truecrypt Full Disk Enryption optimalerweise denn
wählen? (Sicherheit vs Performance?)
Kann es denn sein, dass z.B. Virenscanner und Truecrypt sich gegenseitig beeinflussen oder läuft Truecrypt noch
"tiefer"`im System als der Virenscanner?
Noch zum HDD Passwort: Lässt sich das denn per Software aushebeln oder braucht es zumindest einen Hardwareumbau an der HDD
selbst, dann würde ich ggf. die Gefahr eingehen?
Hallo nochmal,
TC läuft transparent im Hintergrund, keine Software (nichtmal Windows) bekommt davon etwas mit, somit ergeben sich
auch keine Probleme mit Virenscannern etc.
Zum HDD PW: Nein Hardware muss da nicht umgebaut werden, es reicht ggf. ein physikalischer Zugriff auf die Platte (ausbauen)
und ein Hex Editor sammt nötigem Know How um das ganzen auszuhebeln.
Mfg.
Schau dir mal die Doku zu TC an, dort steht alles drin was du wissen willst (und musst).
Habe leider keine Zeit (und werde auch nicht dafür bezahlt, dir die Funktionsweise von TC
im Detail zu erleutern).
Naja einfach so mit dem Hex Editor rumbasteln ist es nicht, nur prinzipiell stark vereinfacht ;)
Du brauchst schon die richtigen Disk Tools dafür, die bekommt man aber, das Wissen um es
zu machen weniger einfach.
Aber wir reden hier ja nicht von Scriptkiddys gegen die man den Platteninhalt absichern will,
sondern über Profis, die wissen was sie tun, dafür gibts ja die Verschlüsselung.
PS: Eine Disk Encryption läuft im "XTS" Modus.
Mfg.
Habe leider keine Zeit (und werde auch nicht dafür bezahlt, dir die Funktionsweise von TC
im Detail zu erleutern).
Naja einfach so mit dem Hex Editor rumbasteln ist es nicht, nur prinzipiell stark vereinfacht ;)
Du brauchst schon die richtigen Disk Tools dafür, die bekommt man aber, das Wissen um es
zu machen weniger einfach.
Aber wir reden hier ja nicht von Scriptkiddys gegen die man den Platteninhalt absichern will,
sondern über Profis, die wissen was sie tun, dafür gibts ja die Verschlüsselung.
PS: Eine Disk Encryption läuft im "XTS" Modus.
Mfg.
"Lässt sich das denn per Software aushebeln oder braucht es zumindest einen Hardwareumbau an der HDD selbst, dann würde ich ggf. die Gefahr eingehen?" - Wenn es denn keine neuartige Plattenverschlüsselung ist, wie die von seagate, FDE genannt, dann schließt ein Angreifer die Platte an einen speziellen Adapter an und ist blitzschnell drauf - diese Adapter sind nicht sonderlich bekannt, aber erschreckend günstig: 80€.
Seagates FDE hingegen ist sicher und auch die Amis im DOD benutzen es.
Also: schau erst mal, mit welcher Platte Du es zu tun hast.
Zur Kennwortlänge bei Truecrypt: ich fürchte, Brammer schüchtert mit seinem Artikel zur Knackbarkeit von Windowskennwörtern unnötig ein, da die Angriffstechniken vermutlich nicht die selben sind, oder weißt Du da mehr, Brammer?
Jedenfalls bietet truecrypt keine 2-factor-Authentifizierung an mit USB-stick oder was auch immer - Kennwort muss reichen.
Seagates FDE hingegen ist sicher und auch die Amis im DOD benutzen es.
Also: schau erst mal, mit welcher Platte Du es zu tun hast.
Zur Kennwortlänge bei Truecrypt: ich fürchte, Brammer schüchtert mit seinem Artikel zur Knackbarkeit von Windowskennwörtern unnötig ein, da die Angriffstechniken vermutlich nicht die selben sind, oder weißt Du da mehr, Brammer?
Jedenfalls bietet truecrypt keine 2-factor-Authentifizierung an mit USB-stick oder was auch immer - Kennwort muss reichen.
Hallo,
@DerWoWusste
Sicher dienen solche Artikel zu einem Teil auch der Einschüchterung. Meine Eigentliche Absicht war aber das Sensibilisieren.
Ich sehe immer wieder das Mitarbeiter die Zugriff auf sensible System habe immer noch das Standardpasswort benutzen welches bei Auslieferung voreingestellt war.
Es werden Passwortlängen vorgegeben mit 6 Buchstaben. Laufzeit 90 - 120 Tage. Ohne Wörterbuch Einschränkung.
Das führt den Begriff Datenschutz ad absurdum.
Das Schlimmste das ich je erlebt habe war eine extrem gehäufte Passwort Zurücksetzung in einem Unternehmen in Berlin. Nicht die üblichen 5 -6 Passwort Problem am Tag sondern gleich dutzende Passwörter an einem normalen Wochentag. Das ganz konzentriert auf einen Gebäude Bereich. Ursache dafür war eine am Vortag abgehängte Werbetafel mit nur einem Wort. Diese Werbetafel war auch nur von diesem Gebäude Bereich aus zu sehen, oder eben jetzt nicht mehr zu sehen.
Diese und andere Vorfälle führen dazu das ich im Umgang mit Passwörtern mehr als sensibel bin.
Obwohl ich bei uns im Hause nicht in der Internen IT arbeite habe ich Administrative Rechte und mit unserer IT inzwischen die Absprache das ich nicht gesperrte Rechner nicht nur sperren darf sondern auch deren Passwort ändern darf. Dafür habe ich inzwischen manche Tüte Gummibärchen, Kuchen und ähnliches einkassiert.
Insbesondere bei der Anwendung von Closed Source oder schwachen Algorithmen reagiere ich daher oft eher drastisch.
Ein Passwort einer Festplatte zu knacken ist je nach Impmentierung eine Sache weniger Minuten oder Stunden.
Truecrypt gilt, nach meinem Wissen, als bisher, mit vernünftigen Mitteln in vertretbarer Zeit als nicht zu knacken.
Viele Hersteller implementieren immer noch Closed Source oder schwache Algorithmen, daher rate ich von solcher Software immer ab.
Truecrypt ist für mich das Mittel der Wahl bei Laptops der aktuellen Generation, ältere Laptops haben Probleme mit Treucrypt wegen der Performance.
Der TO will Daten schtützen, er ist viel unterwegs und macht sich Gedanken über den Schutz seiner Daten.
Wieso sollte man hier nicht zum erprobten Platzhirsch raten?
Wenn ich die Seagate FDE auf die schnelle richtig lese:
A quick glance on the
Internet shows scanner models with capabilities
ranging from 30 to 100,000 enrollees. This
translates to approximately 2^5 (5 bits) to 2^17
(17 bits). If you combine the best (17 bits) with a
good 10-character randomly generated password
(80 bits) you have a combined strength for your
authentication password of 97 bits. Keep in mind
that most BIOSs do not support this length of
authentication key, and so this 97-bit authentication
key will be reduced to some smaller number.
Quelle in den PDFs rechts
kann ich die 256 Bit AES Verschlüsselung nicht einsetzen da die meisten BIOSe bereits mit einem 10 stelligen Passwort überfordert sind.
Bei 10 Stellen bleiben 97 Bit übrig.
Ob man das selber noch als Sicher betrachtet muss jeder selber entscheiden.
brammer
@DerWoWusste
Sicher dienen solche Artikel zu einem Teil auch der Einschüchterung. Meine Eigentliche Absicht war aber das Sensibilisieren.
Ich sehe immer wieder das Mitarbeiter die Zugriff auf sensible System habe immer noch das Standardpasswort benutzen welches bei Auslieferung voreingestellt war.
Es werden Passwortlängen vorgegeben mit 6 Buchstaben. Laufzeit 90 - 120 Tage. Ohne Wörterbuch Einschränkung.
Das führt den Begriff Datenschutz ad absurdum.
Das Schlimmste das ich je erlebt habe war eine extrem gehäufte Passwort Zurücksetzung in einem Unternehmen in Berlin. Nicht die üblichen 5 -6 Passwort Problem am Tag sondern gleich dutzende Passwörter an einem normalen Wochentag. Das ganz konzentriert auf einen Gebäude Bereich. Ursache dafür war eine am Vortag abgehängte Werbetafel mit nur einem Wort. Diese Werbetafel war auch nur von diesem Gebäude Bereich aus zu sehen, oder eben jetzt nicht mehr zu sehen.
Diese und andere Vorfälle führen dazu das ich im Umgang mit Passwörtern mehr als sensibel bin.
Obwohl ich bei uns im Hause nicht in der Internen IT arbeite habe ich Administrative Rechte und mit unserer IT inzwischen die Absprache das ich nicht gesperrte Rechner nicht nur sperren darf sondern auch deren Passwort ändern darf. Dafür habe ich inzwischen manche Tüte Gummibärchen, Kuchen und ähnliches einkassiert.
Insbesondere bei der Anwendung von Closed Source oder schwachen Algorithmen reagiere ich daher oft eher drastisch.
Ein Passwort einer Festplatte zu knacken ist je nach Impmentierung eine Sache weniger Minuten oder Stunden.
Truecrypt gilt, nach meinem Wissen, als bisher, mit vernünftigen Mitteln in vertretbarer Zeit als nicht zu knacken.
Viele Hersteller implementieren immer noch Closed Source oder schwache Algorithmen, daher rate ich von solcher Software immer ab.
Truecrypt ist für mich das Mittel der Wahl bei Laptops der aktuellen Generation, ältere Laptops haben Probleme mit Treucrypt wegen der Performance.
Der TO will Daten schtützen, er ist viel unterwegs und macht sich Gedanken über den Schutz seiner Daten.
Wieso sollte man hier nicht zum erprobten Platzhirsch raten?
Wenn ich die Seagate FDE auf die schnelle richtig lese:
A quick glance on the
Internet shows scanner models with capabilities
ranging from 30 to 100,000 enrollees. This
translates to approximately 2^5 (5 bits) to 2^17
(17 bits). If you combine the best (17 bits) with a
good 10-character randomly generated password
(80 bits) you have a combined strength for your
authentication password of 97 bits. Keep in mind
that most BIOSs do not support this length of
authentication key, and so this 97-bit authentication
key will be reduced to some smaller number.
Quelle in den PDFs rechts
kann ich die 256 Bit AES Verschlüsselung nicht einsetzen da die meisten BIOSe bereits mit einem 10 stelligen Passwort überfordert sind.
Bei 10 Stellen bleiben 97 Bit übrig.
Ob man das selber noch als Sicher betrachtet muss jeder selber entscheiden.
brammer
Moinmoin Brammer.
Da hast Du ja eine Menge geschrieben. Ich bin auch für Truecrypt hier, keine Frage. Nur wäre mir (falls es vorhanden gewesen wäre) FDE sicher genug gewesen. Nach Deiner Rechnung (mit Quadcore Q6600 bei ca. 45 Mio Kennwörtern/s) braucht man selbst für 80 Bit ja noch Millionen von Jahren.
Ich kenne mich mit Bruteforce-techniken nicht aus und habe nur angezweifelt, dass diese Rechenbeispiele anwendbar sind (weil ich es nicht besser weiß). Ist es also möglich, gegen ein TC-Kennwort ebenso schnell wie gegen einen Kennworthash, wie ihn frühere Windowsversionen abgelegt haben (und ein Admin ihn auslesen konnte) "anzurechnen"? Das weiß ich nicht und hatte dazu eine Antwort erhofft.
Dazu brauchst Du Rechte im AD - die hast Du, ohne überhaupt in der IT zu arbeiten? Das sind ja Sitten ;) Respekt.
Da hast Du ja eine Menge geschrieben. Ich bin auch für Truecrypt hier, keine Frage. Nur wäre mir (falls es vorhanden gewesen wäre) FDE sicher genug gewesen. Nach Deiner Rechnung (mit Quadcore Q6600 bei ca. 45 Mio Kennwörtern/s) braucht man selbst für 80 Bit ja noch Millionen von Jahren.
Ich kenne mich mit Bruteforce-techniken nicht aus und habe nur angezweifelt, dass diese Rechenbeispiele anwendbar sind (weil ich es nicht besser weiß). Ist es also möglich, gegen ein TC-Kennwort ebenso schnell wie gegen einen Kennworthash, wie ihn frühere Windowsversionen abgelegt haben (und ein Admin ihn auslesen konnte) "anzurechnen"? Das weiß ich nicht und hatte dazu eine Antwort erhofft.
Obwohl ich bei uns im Hause nicht in der Internen IT arbeite habe ich Administrative Rechte und mit unserer IT inzwischen die Absprache das ich nicht gesperrte Rechner nicht nur sperren darf sondern auch deren Passwort ändern darf.
Dazu brauchst Du Rechte im AD - die hast Du, ohne überhaupt in der IT zu arbeiten? Das sind ja Sitten ;) Respekt.
Hallo,
@DerWoWusste
Da ich Netzwerke für unsere Kunden konzipiere muss ich Adminrechte haben. Bei uns gibt es eine interne IT und eine für unsere Kundenprojekte. Daher die Rechte.
Da ich dazu auch AD user anlegen muss geht es nicht anders.
Brammer
@DerWoWusste
Da ich Netzwerke für unsere Kunden konzipiere muss ich Adminrechte haben. Bei uns gibt es eine interne IT und eine für unsere Kundenprojekte. Daher die Rechte.
Da ich dazu auch AD user anlegen muss geht es nicht anders.
Brammer