Hallo,

ich bin immer noch auf dem Stand, dass BIOS-Passwörter grundsätzlich unsicher seien, weil es sog. Masterpasswörter gibt, mit denen man ins BIOS kommt, auch wenn der Benutzer ein anderes Passwort vergeben hat.
Nach einigem Suchen im WWW habe ich allerdings das Gefühl, dass da auch eine Menge Unsinn erzählt wird. Zum einen sind Seiten, die Masterpasswörter erklären und aufzählen, immer schon ein paar Jahre alt. Und zum anderen hat mich der folgende Forumseintrag stutzig gemacht:

---
Ihr habt's wohl immer noch nicht verstanden... Ein Masterpasswort funktioniert deshlab, weil es die selbe Prüfsumme erzeugt wie ein von BIOS-Herstellern und OEM vordefiniertes Passwort. Es nützt also nur was, wenn ein Passwort bereits beim Neukauf festgelegt war. Wenn z.B. der OEM Dell bei 'nem Award-Bios das Standardpasswort AWARD_SW reingemacht hat, dann funzen neben genau diesem auch alle anderen mit der gleichen Prüfsumme, z.B. lkwpeter. Solche Passwörter findet man realtiv leicht, denn der Verschlüssleungalgortihmus ist nix weiter als CRC16. Es gibt zigtausende Möglichkeiten, aber lkwpeter ist eine der einfachst zu merkendsten. Und deshalb heissen sie "Masterpasswörter".

So, und wenn du nun selbst ein neues Passwort festlegst, erhältst du in aller Regel eine neue Prüfsumme und keines der OEM-Passwörter oder deren Prüfsummen-Äquivalente wird funktionieren.

Du kannst aber, wenn du noch booten kannst, mit 'nem einfachen Proggi den CMOS-Inhalt auslesen und dort die CRC16-Prüfsumme rausziehen. Daraus ein gültiges Passwort zu berechnen ist heutzutage das Hello-World bei angehenden Kryptographie-Spezialisten. Etwa 30 Zeilen QBASIC-Code bzw. 16 Zeilen in C++.

Alternativ kann man auch einfach diese Prüfsumme auf 0 setzen und das ganze wieder in den CMOS schreiben. Voila, das Passwort ist weg.

Wenn du nciht mehr booten kannst, dann helfen dir also auch keine Masterpasswörter mehr was und du musst zwangsläufig den CMOS hardwaremäßig löschen.
---

Quelle: http://www.nickles.de/c/a/forum2-537541020.htm

Zusammengefasst hieße das, wenn der Benutzer ein neues Passwort für sein BIOS festlegt, dann funktioniert das Masterpasswort sowieso nicht. (Oder habe ich das falsch verstanden?)
Will man seinen Rechner also gegen Manipulationen sichern, muss man darauf achten, dass immer zuerst von der Festplatte gebootet wird, dass man ein BIOS-Passwort vergibt und den Administrator- bzw. Root-Account mit Passwort schützt (so dass keiner mehr mit irgendeinem Tool das CMOS auslesen kann - oder geht das trotzdem noch?).
Und darauf achten, dass keiner das Gehäuse öffnet, um die Batterie zu entnehmen, Festplatte auszubauen, etc.
Bei heutigen Laptops ist das mit den Passwörtern m.W. anders als bei normalen PCs, da die BIOS-Passwörter da auch als Diebstahlschutz eingesetzt werden.
So, ist das jetzt der aktuelle Stand der Technik oder sind da noch Fehler drin?
Bitte ggf. um Korrekturen. ;-)

Danke
Jens