Moin!

ich bin immer noch auf dem Stand, dass BIOS-Passwörter grundsätzlich unsicher seien, weil es sog. Masterpasswörter gibt, mit denen man ins BIOS kommt, auch wenn der Benutzer ein anderes Passwort vergeben hat.
Nach einigem Suchen im WWW habe ich allerdings das Gefühl, dass da auch eine Menge Unsinn erzählt wird.

Tatsächlich hängt die Sicherheit so eines Passwortes ganz schlicht und einfach davon ab, wie sie konkret realisiert ist.

In den alten BIOSsen ist es tatsächlich so, dass - egal welches Userpasswort gesetzt wurde - immer auch ein weiteres Masterpasswort funktionierte, um die Abfrage erfolgreich zu durchlaufen.

Ist ja auch logisch, warum BIOS-Hersteller sowas einbauen: Weil durch Löschen des CMOS-RAMs das User-Passwort sowieso rücksetzbar ist, ist sowieso keine Sicherheit gegeben - dem Servicepersonal hingegen wird durch das Masterpasswort das Leben erheblich erleichtert. Denn nicht immer ist das CMOS-RAM leicht und schnell löschbar (neuere Mainboards haben dafür extra Jumper, die man nur kurz setzen muß). Außerdem kostet sowas Zeit, und zerstört auch alle anderen BIOS-Einstellungen.

Da das Passwort-Feature allerdings mit Bekanntwerden der Masterpassworte ziemlich sinnlos geworden ist, werden aktuelle BIOSse unter Umständen keine derartigen Hintertüren mehr anbieten.

Und zum anderen hat mich der folgende Forumseintrag stutzig gemacht:

Dieser Forumseintrag ist halbrichtig. Korrekt ist, dass es zu sogenannten Kollisionen kommt, wenn ein Passwort nur als Prüfsumme gespeichert wird, und die Zahl der Passworte größer ist als die Zahl der unterschiedlichen Prüfsummen. Nur dann kann man Passworte finden, die nicht dem Original entsprechen, aber die gleiche Prüfsumme haben - und mit denen man sich ebenfalls einloggen kann.

Kritisch sehe ich die Behauptung, es würde CRC16 zum Einsatz kommen. Das mag für manche BIOSse vielleicht stimmen, für andere nicht. Da das BIOS-Passwort in der Länge begrenzt ist (oft nur 8 Zeichen), spricht eigentlich nichts dagegen, das Passwort nur verschleiert oder gar im Klartext im CMOS-RAM zu speichern, und dann eben direkt mit der Benutzereingabe zu vergleichen.

Falsch ist die Behauptung bzw. deine Schlussfolgerung, durch das Setzen des Userpasswortes würde das Masterpasswort außer Kraft gesetzt.

Falsch ist auch diese Behauptung:

Ein Masterpasswort funktioniert deshlab, weil es die selbe Prüfsumme erzeugt wie ein von BIOS-Herstellern und OEM vordefiniertes Passwort.

Der Passwortvergleich in einem BIOS läuft ja gerade so ab:

if ($eingabe == $userpasswort) OR ($eingabe == "festesMasterPasswort")
then BOOT_SYSTEM

Das feste Masterpasswort steht unveränderlich im BIOS-Programmcode.

Will man seinen Rechner also gegen Manipulationen sichern, muss man darauf achten, dass immer zuerst von der Festplatte gebootet wird, dass man ein BIOS-Passwort vergibt und den Administrator- bzw. Root-Account mit Passwort schützt (so dass keiner mehr mit irgendeinem Tool das CMOS auslesen kann - oder geht das trotzdem noch?).

Falsch.

Wenn du verhindern willst, dass sich jemand an deinen Daten zu schaffen macht (die Hardware lassen wir mal außer acht, die ist im Zweifel wiederbeschaffbar), dann mußt du deine Daten verschlüsseln.

Sämtliche BIOS-Sicherheitsmethoden können ja nicht verhindern, dass jemand einfach die Festplatte ausbaut. BIOS-Passworte stehen außerdem im zweifelhaften Ruf, durch Masterpassworte überwindbar zu sein (wenn du für dein aktuelles BIOS noch kein Passwort gefunden hast, liegt das vielleicht nur daran, dass noch keines bekannt geworden ist - ein besser informierter Insider könnte es aber wissen).

Zur Datenverschlüsselung gibt es diverse Programme. Eines, das auch hier im Forum immer wieder erwähnt wird, um komplette Partitionen zu verschlüsseln, an die du dann erst nach dem OS-Booten durch Passworteingabe herankommst, ist TrueCrypt.

Und darauf achten, dass keiner das Gehäuse öffnet, um die Batterie zu entnehmen, Festplatte auszubauen, etc.

Das würde bedeuten, dass du 24/7 wachsam neben deinem Rechner sitzen mußt, damit niemand sich an ihm zu schaffen machen kann. Wie lange hälst du es ohne Schlaf aus? ;)

Bei heutigen Laptops ist das mit den Passwörtern m.W. anders als bei normalen PCs, da die BIOS-Passwörter da auch als Diebstahlschutz eingesetzt werden.

Laptop-Festplatten (es ist aber nicht auf diese begrenzt, sondern generell ein Feature im ATA-Standard) besitzen ein leider wenig bekanntes Feature, intern selbst eine sichere Verschlüsselungsmethode zu kennen, die die Inhalte der Platte 100% gegen Fremdzugriff ohne Passwort absichert.

Das Problem dabei ist die Bekanntheit. Wer einen bislang ungesicherten Laptop mit einem HD-Passwort versieht, nimmt damit praktisch alle Daten in Geiselhaft. Dieses Passwort kann auch von einem Trojaner gesetzt werden! Und es kann eben nicht mehr gesetzt werden, wenn vorher schon ein Passwort definiert war, ohne das vorherige Passwort zu kennen.

- Sven Rautenberg