ThinkPad Passwörter

Zuerst einmal die offizielle Referenz zu ThinkPad Passwörtern.

Einleitung: Ich repariere ab und zu ThinkPads und habe hier alles zusammengeschrieben, was ich dabei zum Stichwort Passwörter gelernt habe. Beispiele beziehen sich auf ein ThinkPad X250, das BIOS anderer Modelle sollte aber ähnlich sein.

Geltungsbereich: Alles was hier steht, bezieht sich auf ThinkPads der neueren Generation (ab ..40, also z.B. X240, T440, usw). Bei älteren ThinkPads ist das Ändern von Passwörtern eher möglich oder einfacher, als bei dieser neueren Generation.

Motivation: liest man z.B. in einer ebay Verkaufsanzeige das Stichwort "BIOS Passwort", so kann sich dahinter alles mögliche verbergen: angefangen von "so gut wie keine Einschränkungen" bis hin zu "Mainboard muss getauscht werden". Leider lassen einen die Verkäufer aus Unkenntnis meist im Dunkeln, und man muss schon genau nachfragen um den tatsächlichen Zustand des Laptops zu erfahren.

Praktischer Hinweis: wie komme ich ins BIOS wenn Boot mode = Quick und die Abfrage "To interrupt normal startup, press Enter" gar nicht erscheint? Einfach ins Windows durchstarten und einen Neustart machen. Dann erscheint die notwendige Abfrage und nach Drücken von Enter und F1 landet man sicher im BIOS. Nur wenn Boot mode = Diagnostic erscheint beim Kaltstart die Ausgabe "Press F1 to enter BIOS".

-------------------------------------------------------------------

Ein ThinkPad kann mehrere Passwörter haben:

  1. Supervisor Passwort (BIOS Passwort)
  2. Power-on Passwort
  3. Hard drive Passwort (Master und User)
  4. Betriebssystem Passwort (z.B. Windows Passwort)

1. Supervisor Passwort (wird auch als BIOS Passwort bezeichnet)

Dieses Passwort hat zur Folge, dass die meisten Einstellungen im BIOS nicht mehr geändert werden können. Sie werden im BIOS grau dargestellt. Im konkreten Fall kommt es also darauf an, wie die Einstellungen grade stehen. Sind die Einstellungen alle auf ihren default Werten, so hat Otto Normalverbraucher so gut wie keine Einschränkungen. Eine der wenigen relevanten Einschränkungen wäre z.B. der Umstand, dass man jetzt selber keine Passwörter vergeben kann, da ja diese Einstellungen "eingefroren" sind.

Darüber hinaus gibt es aber eine Reihe von Einstellungen, die einem das Leben erschweren können, wenn sie geändert wurden:

Wie merkt man nun, dass ein Supervisor Passwort gesetzt ist? Wenn man versucht ins BIOS zu gelangen wird das Passwort abgefragt. Da man es nicht weiß, muss man einfach Enter eingeben. Man gelangt dann ins BIOS, kann aber fast nichts ändern. Beim Normalstart merkt man hingegen nichts von dem Supervisor Passwort. Manche sind durch die Passwortabfrage so irritiert, dass Sie gar nicht auf die Idee kommen, dass man ohne Passwort trotzdem ins BIOS gelangt und zumindest die aktuellen Einstellungen sehen kann. Sie erzählen dann von einem Passwort, dass verhindert, dass man ins BIOS gelangt.

Aber auch hier gibt es eine Ausnahme, wo ein gesetztes Supervisor Passwort das Starten des Laptops verhindert: die BIOS Option heißt "Bottom Cover Tamper Detection". Ist diese Option sowie das Supervisor Passwort gesetzt, und das Bottom Cover wurde geöffnet, so erscheint beim Starten die Meldung: "System Security - Bottom cover tamper detected" und der Laptop verlangt nach dem Supervisor Passwort. Ist dieses unbekannt, muss man das Mainboard ersetzen.

Eine weitere Ausnahme tritt dann ein, wenn man drei Mal ein falsches Supervisor Passwort eingibt. Es kommt dann die Fehlermeldung "System Security - Security password retry count exceeded" und es wird das Supervisor Passwort abgefragt. Auch hier muss das Mainboard ersetzt werden.

Man findet im Internet Dienstleister, die angeben so ein Supervisor Passwort gegen ein bekanntes austauschen zu können. Die Prozedur ist jedoch nur etwas für Spezialisten und auch nicht ganz preiswert. Wen es interessiert: man muss einen Dump vom eigenen BIOS erstellen und an den Dienstleister schicken. Der fügt eine Funktion hinzu, die während des POST läuft und das Supervisor Passwort gegen ein bekanntes austauscht. Der Chip, in dem das Supervisor Passwort gespeichert ist, kann nur während des POST beschrieben werden, danach wird er gesperrt. Dieses BIOS muss nun geflashed werden und der Laptop muss damit einmal gestartet werden. Danach muss man wieder das Original-BIOS flashen und nun sollte man das Supervisor Passwort kennen. Die Dienstleister verlangen dafür in der Regel 50$ - 100$.

Anmerkung zum Installieren eines Betriebsystems: Wenn der ThinkPad beim Starten über ein nicht gesetztes Datum/Uhrzeit meckert (die man im BIOS wegen des Supervisor Passwortes auch nicht setzen kann): einfach ignorieren, da jedes Betriebssystem sich die Zeit aus dem Internet holt und diese dann auch ins BIOS schreibt.

2. Power-on Passwort

Wie der Name schon vermuten läßt, wird dieses Passwort bei einem Kaltstart unmittelbar nach Drücken der Power Knopfes immer abgefragt. Ist zusätzlich ein Supervisor Passwort gesetzt, kann man an dieser Stelle auch das Supervisor Passwort angeben, z.B. um ins BIOS zu gelangen und um dort das Power-on Passwort zu ändern oder zu löschen. Weiß man jedoch weder das Power-on Passwort noch das Supervisor Passwort, muss man das Mainboard ersetzen.

3. Hard drive Passwort

Moderne SSDs sind grundsätzlich alle verschlüsselt und man kann bei allen optional ein Passwort angeben. Die Festplatte wird dann nur nach Eingabe des Passwortes entschlüsselt.

Hintergrund: Der kryptografische Key zum Verschlüsseln ist in der Festplatte abgelegt und kann über eine entsprechende Funktion geändert werden. Das Ändern des kryptografischen Keys entspricht einer Löschung der Festplatte, da man ohne den alten Key keine Chance hat, die Festplatte zu entschlüsseln. Diese Methode des Löschens ist sehr viel sicherer und schneller als das früher benutzte mehrfache Überschreiben der Festplatte mit einem festen Bytemuster. Alle modernen ThinkPads und auch alle modernen PCs bieten im BIOS diese Funktion an.

Grade Firmen setzen aus Datenschutzgründen immer ein Hard drive Passwort, so dass nach Verlust des Laptops die Daten nicht in fremde Hände geraten können.

Wenn ein Hard drive Passwort gesetzt wird, so ist dies das sogenannte User Passwort. Optional kann zusätzlich ein Master Password gesetzt werden. Firmen nutzen dieses Feature: sie setzen individuelle User Hard drive Passwörter aber nutzen ein gemeinsames Master Passwort um auf die Daten aller Laptops zugreifen zu können.

Es gibt zwei verschiedene Strategien, ob man ein Hard drive Passwort löschen kann: einige der Hersteller stehen auf dem Standpunkt, wenn jemand eine Festplatte in den Händen hat, dann hat er zwar nicht das Recht den Inhalt zu lesen, er hat aber das Recht die Festplatte auf Werkszustand zurückzusetzen. In diesem Fall findet man auf der Festplatte eine längliche PSID. Mit entsprechenden Programmen (z.B. sedutil) und mit dieser PSID läßt sich dann so eine Festplatte wieder initialisieren und nutzen. Andere Hersteller stehen auf dem Standpunkt, dass dies nicht möglich sein sollte, da der ursprüngliche Besitzer seine Festplatte ev. wieder zurückbekommt und dann wieder auf seine Daten zugreifen können soll. Diese bieten dann keine PSID an und man kann dann die Festplatte nur noch entsorgen.

Wie merkt man, dass ein Hard drive Passwort gesetzt ist, wenn gleichzeitig ein unbekanntes Power-on Passwort gesetzt ist? Gar nicht: man muss den ThinkPad aufschrauben und die Festplatte an einen anderen Rechner anschliessen. Tut man das über ein USB-Interface, dann wird die Festplatte nicht erkannt (könnte dann auch defekt sein). Baut man die Festplatte in einen Rechner ein, der so ein Passwort unterstützt, so wird dies unmittelbar beim ersten Zugriff auf die Festplatte abgefragt.

Das Power-on Passwort wird immer vor dem Hard drive Passwort abgefragt. Grundsätzlich kann man für Power-on und Hard drive Password verschiedene Passwörter benützen, meist benützt man jedoch das gleiche um eine zweifache Eingabe zu vermeiden. Die ThinkPads machen nämlich schlauerweise folgendes: wenn das Power-on Passwort korrekt war und ein Hard drive Passwort verlangt wird, dann nutzen sie dafür automatisch das Power-on Passwort. Erst wenn dieses falsch ist, verlangt der ThinkPad nach einer zweiten Eingabe.

4. Betriebssystem Passwort

Wie man das Betriebssystem Passwort zurücksetzen kann, hängt von der Art des Windows Kontos ab:

Anmerkungen

BIOS Passwort: nun sollte klar sein, was man machen muss, wenn ein ThinkPad mit dem Hinweis "BIOS Passwort" angeboten wird: als erstes muss man herausfinden, ob bei einem Kaltstart unmittelbar nach dem Drücken des Power Knopfs ein Passwort abgefragt wird. Je nach Symbol ist es dann ein Power-on Passwort oder ein Hard drive Passwort. Ist es ein Power-on Passwort, ist das Mainboard unbrauchbar. Wird nach dem Start kein Passwort abgefragt sondern nur wenn man versucht ins BIOS zu gelangen, dann ist es tatsächlich nur ein BIOS Passwort und je nach den Einstellungen im BIOS kann das Mainboard mit Einschränkungen verwendet werden.

Neustart: Power-on und Hard drive Passwort wird bei einem Neustart nicht mehr abgefragt. Es erscheint zwar kurz das Passwort Symbol, verschwindet dann aber wieder.

Fingerabdruckscanner: anstatt eines Power-on und eines Hard drive Passwortes kann auch ein Fingerabdruckscanner benutzt werden. Mit Windows Hello kann dieser auch für das Windows Konto benutzt werden, also einmal Scannen für alle drei Passwörter.

Firmen-ThinkPads: meist sind alle drei Passwörter gesetzt: Supervisor, Power-on und Hard drive Passwort. Firmen geben diese Laptops - z.B. am Ende der Leasingzeit - nie mit gesetzten Passwörtern wieder zurück. Hat man also einen Laptop mit allen drei Passwörtern, so handelt es sich entweder um ein gestohlenes Gerät oder um ein Gerät aus einer Fundstückversteigerung.

Alles hier beschriebene habe ich mit einem X240 und einem X250 getestet. Dennoch kann es im Detail mit anderen Modellen und mit anderen BIOS Versionen Abweichungen geben. Z.B. hat jemand berichtet, er hätte viele Male versucht ein Supervisor Passwort zu erraten und das BIOS hätte sich nicht gesperrt nach dem dritten Versuch. Es hat auch jemand berichtet, das Supervisor Passwort hätte verhindert, dass er ins BIOS kommt, der normale Start sei aber problemlos möglich. Your mileage may vary!

 

Edmund Mergl
e.mergl@bawue.de
Erstellung: 7. April 2019
letzte Änderung: 05. Mai 2019