1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Verschlüsselung: Windows…

Ist das Problem nicht eher...

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Ist das Problem nicht eher...

    Autor: FleissigeBiene 29.07.21 - 14:53

    das hier:
    > Das sei möglich, da "Bitlocker keine verschlüsselten Kommunikationsfunktionen des TPM 2.0-
    > Standards" nutze. Entsprechend werde der Verschlüsselungskey unverschlüsselt über den SPI-
    > Bus gesendet und könne beispielsweise an den Kontakten des TPMs abgefangen werden.

    Also failed by (Microsoft-) Design?
    Dass ein Sicherheitschip der Daten unverschlüsselt ausgeben kann ist ja noch einigermaßen akzeptabel.
    Aber dass man diesen Mechanismus nutzt, um sicherheitsrelevante Daten auszutauschen ist absolut unverständlich.

    /Biene

  2. Re: Ist das Problem nicht eher...

    Autor: cyborg 29.07.21 - 14:59

    Auch aus dem Text:

    Zwar schütze ein verschlüsselter Austausch des Keys nicht absolut, er erschwere den Angriff jedoch deutlich.

    Das hilft also auch nicht wirklich.
    Ich gebe hier nur Laptops raus bei denen der Bitlocker vor dem Start des Rechners ein Kennwort abfragt.
    Nach drei Falscheingaben ist Schluß, dann braucht man den Recovery Key um den Rechner entsperren zu können. Funktioniert tadellos nachdem sich die Leute über den zusätzlichen Schlüssel wieder abgeregt hatten.
    Das gleiche wie beim zweiten Faktor beim VPN, zuerst großes Geheule und jetzt funktioniert es problemlos...

  3. Re: Ist das Problem nicht eher...

    Autor: MarcusK 29.07.21 - 14:59

    FleissigeBiene schrieb:
    --------------------------------------------------------------------------------
    > das hier:
    > > Das sei möglich, da "Bitlocker keine verschlüsselten
    > Kommunikationsfunktionen des TPM 2.0-
    > > Standards" nutze. Entsprechend werde der Verschlüsselungskey
    > unverschlüsselt über den SPI-
    > > Bus gesendet und könne beispielsweise an den Kontakten des TPMs
    > abgefangen werden.
    >
    > Also failed by (Microsoft-) Design?
    > Dass ein Sicherheitschip der Daten unverschlüsselt ausgeben kann ist ja
    > noch einigermaßen akzeptabel.
    > Aber dass man diesen Mechanismus nutzt, um sicherheitsrelevante Daten
    > auszutauschen ist absolut unverständlich.

    so unverständlich ist es gar nicht. Denn wenn der Key verschlüsselt ist muss auch der Schlüssel irgendwo liegen. Damit würde eine Verschlüsselung auch keine wirkliche Sicherheit sein.

    So lange der PC sich "selber" Entschlüssen kann, wird es auch Möglichkeiten geben es zu umgehen. Wenn TPM im Prozessor ist kommt man zumindest schon mal nicht an die Kontakte. Bei Notebook kann man den Prozessor auch schlecht rausnehmen. Bei einen PC könnte man ihn einfach in ein anderen Mainboard stecken und dann dort auslesen.

  4. Re: Ist das Problem nicht eher...

    Autor: MarcusK 29.07.21 - 15:01

    cyborg schrieb:
    --------------------------------------------------------------------------------
    > Auch aus dem Text:
    >
    > Zwar schütze ein verschlüsselter Austausch des Keys nicht absolut, er
    > erschwere den Angriff jedoch deutlich.
    >
    > Das hilft also auch nicht wirklich.
    > Ich gebe hier nur Laptops raus bei denen der Bitlocker vor dem Start des
    > Rechners ein Kennwort abfragt.
    > Nach drei Falscheingaben ist Schluß, dann braucht man den Recovery Key um
    > den Rechner entsperren zu können. Funktioniert tadellos nachdem sich die
    > Leute über den zusätzlichen Schlüssel wieder abgeregt hatten.
    > Das gleiche wie beim zweiten Faktor beim VPN, zuerst großes Geheule und
    > jetzt funktioniert es problemlos...

    weist du wie das mit den Falscheingaben umgesetzt ist? Weil zählt die und wo wird der Wert gespeichert? Wenn das alles der TPM macht ist es gut, wenn es aber ein Teil vom Bios ist wird man wohl auch diesen Zähler zurücksetzen können.

  5. Re: Ist das Problem nicht eher...

    Autor: Huanglong 29.07.21 - 15:51

    Wenn man Brute Force machen möchte, würde man wahrscheinlich sowieso nicht auf das Interface vom Bitlocker zurückgreifen. Das wird es einem nur gerade schwer genug machen, dass es keinen Sinn macht darüber anzugreifen.

  6. Re: Ist das Problem nicht eher...

    Autor: AllDayPiano 29.07.21 - 17:28

    Wichtig ist in jedem Falle, dass die Passwortrichtlinie eine regelmäßige Änderung erzwingt. So alle drei Monate ist der ideale Zeitraum. Wichtig ist auch, dass man ein vergangenes Passwort nicht noch einmal nutzen kann. Denn dann haben innerhalb kürzester Zeit alle Benutzerkonten ein Kennwort à la

    asdf1234
    asdf2345
    asdf3456
    ...

    Alles, was oben steht, ist eine Meinung. Meine Meinung. Wenn ich eine absolute Aussage treffe, dann ist das ebenfalls eine Meinung. Meine Meinung. Wenn ich etwas mit Quellen belege, ist es entsprechend gekennzeichnet und damit keine Meinung, sondern eine Schlussfolgerung oder Tatsachendarstellung. Gut, dass wir das jetzt abschließend geklärt haben. Springen wird Golem.de trotzdem weiterhin.

  7. Re: Ist das Problem nicht eher...

    Autor: MarcusK 29.07.21 - 17:31

    AllDayPiano schrieb:
    --------------------------------------------------------------------------------
    > Wichtig ist in jedem Falle, dass die Passwortrichtlinie eine regelmäßige
    > Änderung erzwingt. So alle drei Monate ist der ideale Zeitraum. Wichtig ist
    > auch, dass man ein vergangenes Passwort nicht noch einmal nutzen kann. Denn
    > dann haben innerhalb kürzester Zeit alle Benutzerkonten ein Kennwort à la
    >
    > asdf1234
    > asdf2345
    > asdf3456

    nein. Es hat sich mittlerweile die Meinung gebildet, das ein guten Passwort nicht geändert werden sollte. Das führt nur dazu dazu das es aufgeschrieben wird oder viel zu einfach ist, weil man es sich sonst nicht merken kann.

    https://www.heise.de/security/meldung/Passwoerter-BSI-verabschiedet-sich-vom-praeventiven-Passwort-Wechsel-4652481.html

  8. Re: Ist das Problem nicht eher...

    Autor: Sharra 29.07.21 - 17:46

    Würde die Kommunikation verschlüsselt ablaufen, müsste ich erst mal diese Verschlüsselung brechen, bevor ich den Key extrahieren könnte.
    Wenn man ein ordentliches Kryptoverfahren nutzt, kannst du die Komminkation natürlich weiterhin physisch abfangen, aber es bringt dir nichts, weil du die nächsten 20.000 Jahre mit dem Brechen der Verschlüsselung beschäftigt bist.

  9. Re: Ist das Problem nicht eher...

    Autor: MarcusK 29.07.21 - 17:51

    Sharra schrieb:
    --------------------------------------------------------------------------------
    > Würde die Kommunikation verschlüsselt ablaufen, müsste ich erst mal diese
    > Verschlüsselung brechen, bevor ich den Key extrahieren könnte.
    > Wenn man ein ordentliches Kryptoverfahren nutzt, kannst du die Komminkation
    > natürlich weiterhin physisch abfangen, aber es bringt dir nichts, weil du
    > die nächsten 20.000 Jahre mit dem Brechen der Verschlüsselung beschäftigt
    > bist.

    aber die Schlüssel für die Kommunikation muss ja auch auf den Gerät sein, damit verlagerst du nur das Problem.

  10. Re: Ist das Problem nicht eher...

    Autor: cyborg 29.07.21 - 18:13

    Also von erzwungenen Passwortänderungen habe ich mich verabschiedet.
    Das führt dann auch nur zu:
    Januar2021!
    Februar2021"
    MärzMärz2021§

    Sonderzeichen einfach der Reihe nach durchmachen wie sie auf der Tastatur über den Zahlen sind...

    Du bekommst die User nicht dazu sich Ej&ghbnd9"fg*#kH6HnJG zu merken und es auch noch monatlich zu ändern. Habe ich bei nem Kunden mal versucht. Da war ich dann die ersten Tage des Monats/Quartals nur mit Kennwortrücksetzen beschäftigt.

  11. Re: Ist das Problem nicht eher...

    Autor: us61170 29.07.21 - 18:58

    So kann man sich auch wichtig machen. Der Schutz des Firmennetzwerks hört aber nicht bei einer PIN Eingabe auf.

    Solange man an die Hardware rankommt und genügend Zeit und Energie verwendet, wird man das immer knacken können. Das gilt für Häuser, Autos, Tresore, Geldautomaten und natürlich auch für Rechner.

  12. Re: Ist das Problem nicht eher...

    Autor: Sharra 29.07.21 - 19:02

    Du schließt doch bestimmt auch deine Wohnungstür ab, wenn du gehst oder?
    Das ist auch kein 100% Schutz, sondern nur ein weiteres Hindernis, das zwischen dem bösen Buben, und deinem Eigentum steht.
    Es geht immer nur darum es möglichst schwierig zu machen. Unmöglich gibt es nicht.

  13. Re: Ist das Problem nicht eher...

    Autor: interlingueX 29.07.21 - 20:40

    Wo du den Wohnungsschlüsselvergleich bringst (stimme dir übrigens durchaus zu), stell' ich mir grad vor, wie der Hausmeister die Bewohner verpflichtet, sich aus Sicherheitsgründen jeden Monat einen neuen Schlüssel zu fräsen. „Dieses Profil ist leider nicht erlaubt, da Sie es in der Vergangenheit bereits verwendet haben. Bitte erstellen Sie einen neuen Schlüssel.“ ^^

    ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~
    Also, ich bin Generation A. Trends muss man setzen, bevor es zu spät ist.

  14. Re: Ist das Problem nicht eher...

    Autor: Eheran 29.07.21 - 21:34

    >Wichtig ist in jedem Falle, dass die Passwortrichtlinie eine regelmäßige Änderung erzwingt.
    Genau aus dem von dir genannten Passwortschema, welches damit entsteht, darf man eben NICHT die Änderung erzwingen.

  15. Re: Ist das Problem nicht eher...

    Autor: voidyvoid 30.07.21 - 00:42

    Eine jährliche Passwortänderung ist 100% ausreichend. Alle 1-3 Monate ist schlecht, da kommen dann die Passwortzettel und Wiederholungen, sowie einfache Kennwörter zum Einsatz.

  16. Re: Ist das Problem nicht eher...

    Autor: My1 02.08.21 - 09:09

    cyborg schrieb:
    --------------------------------------------------------------------------------
    > Auch aus dem Text:
    >
    > Zwar schütze ein verschlüsselter Austausch des Keys nicht absolut, er
    > erschwere den Angriff jedoch deutlich.
    >
    > Das hilft also auch nicht wirklich.
    > Ich gebe hier nur Laptops raus bei denen der Bitlocker vor dem Start des
    > Rechners ein Kennwort abfragt.
    > Nach drei Falscheingaben ist Schluß, dann braucht man den Recovery Key um
    > den Rechner entsperren zu können. Funktioniert tadellos nachdem sich die
    > Leute über den zusätzlichen Schlüssel wieder abgeregt hatten.
    > Das gleiche wie beim zweiten Faktor beim VPN, zuerst großes Geheule und
    > jetzt funktioniert es problemlos...


    Tpm pin oder eben das passwort ohne tpm ist aber absolut doof für multiuser Systeme daher kann ich pinlosen tpm auch verstehen

    Asperger inside(tm)

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Software-Entwickler mobile Applikationen/App-Entwicklung für Frontend oder Backend (m/w/d)
    BARMER, Schwäbisch Gmünd
  2. Cyber Security Manager (m/w/d)
    Jungheinrich AG, Hamburg
  3. Anwendungsentwicklerin / Anwendungsentwickler (m/w/d)
    Information und Technik Nordrhein-Westfalen (IT.NRW), Düsseldorf
  4. Datenkoordinator*in (m/w/d)
    Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (u. a. Ryzen 5 5600X 358,03€)
  2. 499,99€
  3. (u. a. Ryzen 7 5800X für 469€)


Haben wir etwas übersehen?

E-Mail an news@golem.de