Windows 11 längeres Bitlocker-Passwort
 

Hi,

Ich habe kürzlich einen neuen PC zusammengebaut. Nach und nach habe ich die Festplatten in den neuen PC umgezogen, zuletzt auch die Bitlocker-verschlüsselte System-SSD, um auf meine alten Benutzerdaten zugreifen zu können. Die habe ich dann problemlos mit meinem 23-stelligen Passwort entschlüsselt, welches ich vorher auch immer beim Boot eingegeben habe.

Nun habe ich auch die Verschlüsselung für die neue System-Platte aktiviert. Der Schlüssel sitzt aber offenbar im TPM-Chip, denn ich wurde nicht nach nach einem Passwort gefragt.

Nun kann man offenbar eine PIN vergeben. Das ist mir aber zu unsicher. Durch diverse Gruppenrichtlinien konnte ich das auf alphanumerisch sowie die Passwort-Länge auf 20 Zeichen umstellen. Das reicht aber immer noch nicht, um mein 23-Stelliges Passwort vergeben zu können.

Zudem wird mir die TPM-Bindung doch sicher auf die Füße fallen, wenn ich das nächste mal den PC wechsle und die Platte wieder mitnehmen möchte? Komme ich dann mit dem Wiederherstellungsschlüssel weiter? Oder muss ich die TPM-Bindung irgendwie aufheben?

Und wie kann ich ein längeres Passwort als 20 Zeichen verwenden? Unter Windows 10 hat das ja funktioniert.

Zu deinem Beitrag fällt mir grad nur das ein https://www.heise.de/news/BSI-Beirat...g-7221073.html

Warum brauchst du so lange Passwörter? Und das bei Windows wo alles closed und im Endeffekt doch eh wieder für die Füße ist?

Das ist das einzige komplexe Passwort, das ich im Kopf habe. Damit öffne ich meine Boot-Festplatte und meine Passwort-Datenbank. Seit 15 Jahren oder so. Warum sollte ich jetzt plötzlich ein weniger komplexes nehmen, das ich wieder neu lernen muss?

Ähnliche Diskussion: https://www.computerbase.de/forum/th...on-pw.2045534/
Bitlocker kann wohl auch ohne TPM genutzt werden. Dann längeres PW möglich (im späteren Verlauf des Threads).

Danke, ich hab mich mal etwas eingelesen jetzt. Das TPM sperrt ja offenbar den PIN-Zugang nach einigen Fehlversuchen und mittels Wiederherstellungsschlüssel lässt sich auch ohne vorhandenes TPM das Laufwerk jederzeit entsperren. Hab ich das so richtig verstanden?

Dann reicht mir evtl. ein Teil meines Passworts.

Nur die default Settings passen mir nicht. 32 Versuche sind ganz schön viel. Wär mir lieber, wenn das Teil nach 3 Fehleingaben dicht macht. Aber da gibt es ja offenbar auch entsprechende Gruppenrichtlinien.

Du hast für Bitlocker und Keepass dasselbe Passwort? :confused:

Naja, jetzt nicht mehr :singsing:

Bisher ja. Wo ist das Problem? Das Keepass-Passwort geb ich ja auch unter Windows ein.

Naja. Das schon, aber prinzipiell würde ich so ein Master-PW nicht woanders verwenden. Dann kannste deine Passwörter ja gleich in eine txt Datei schreiben...ist doch mit Bitlocker gesichert :rofl:

Ich hab das jetzt sogar mal komplett umgebaut. Bitlocker hat jetzt eine PIN, durch per Gruppenrichtlinien geänderter Settings besteht die aus Buchstaben und Zahlen.

Die Entschlüsselung macht dann das TPM-Modul, das kümmert sich auch darum, dass die PIN nicht bruteforced werden kann, denn nach 32 Versuchen ist erst mal Schluss.

Im Notfall habe ich immer noch den Bitlocker-Wiederherstellungsschlüssel, falls das TPM-Modul kaputt geht oder aus einem anderen Grund nicht mehr verwendet werden kann.

Die Entschlüsselung meiner Veracrypt-Volumes, die ich bisher manuell per Keepass-Plugin entschlüsselt habe, passiert jetzt automatisch. Dafür habe ich von Passwort auf Keyfile gewechselt. Das Keyfile liegt auf C:\, ist also erst zugänglich, nachdem Bitlocker die Platte entschlüsselt hat. Die Entschlüsselung findet nach der Windows-Anmeldung statt.

Das Keyfile für die Veracrypt-Laufwerke ist zusätzlich im Keepass gespeichert und diese Datenbank wird regelmäßig in meine Nextcloud synchronisiert.

Bisher funktioniert das so gut. Irgendwelche Verbesserungsvorschläge / Einwände / Anregungen, wie man das besser machen könnte?