การรักษาความปลอดภัยรหัสผ่าน BIOS ฮาร์ดไดรฟ์?


12

ฉันมี Dell Latitude E6400 และฉันต้องการที่จะรู้ว่าการตั้งค่ารหัสผ่าน BIOS HDD ปลอดภัยแค่ไหน? สิ่งนี้ใช้การเข้ารหัสบางรูปแบบกับเนื้อหาของไดรฟ์หรือเป็นเพียงล็อคง่ายๆในการเข้าถึงไดรฟ์ คือถ้าสมุดบันทึกสูญหายหรือถูกขโมยสามารถเข้าถึงข้อมูลที่อยู่ในนั้นโดยผู้ที่มีความรู้เล็กน้อยได้อย่างไร

คำตอบ:


11

รหัสผ่าน BIOS เป็นล็อคง่าย หากคุณไม่ได้ระบุรหัสผ่าน BIOS จะหยุดและไม่ดำเนินการบู๊ตต่อ

มีสองวิธีในการหลีกเลี่ยงการล็อกแบบง่าย ๆ นี้:

  1. ล้างหน่วยความจำ BIOS / CMOS (โดยปกติจะต้องเข้าถึงเมนบอร์ดโดยตรง)

  2. ถอดไดรฟ์และเชื่อมต่อกับคอมพิวเตอร์เครื่องอื่น (ง่ายกว่า)


อัปเดต : ตามคำตอบของ Blackbeagle มีการกำหนดรหัสผ่าน HDD ไว้เป็นส่วนหนึ่งของข้อมูลจำเพาะของ ATA นี่เป็นล็อคแบบง่าย ๆ แต่มันถูกนำไปใช้ในไดรฟ์ดังนั้นขั้นตอนข้างต้นจะไม่ผ่านมัน จำเป็นต้องมีความรู้ด้านเทคนิค (และอาจมีฮาร์ดแวร์เพิ่มเติม) คุณอาจจะสนใจในบทความไพรเมอร์นี้ในรหัสผ่าน HDD


ล็อคไบออสเป็นตัวยับยั้งที่เหมาะสมในทุกสถานการณ์ของภาพยนตร์: ผู้ที่มีความรู้ด้านเทคนิค จำกัด หรือสถานการณ์ที่ผู้โจมตีสามารถเข้าถึงคอมพิวเตอร์ได้ แต่ไม่มีเวลาหรืออิสระเพียงพอที่จะแยก หากคุณแค่พยายามป้องกันไม่ให้เพื่อนร่วมงานหรือสมาชิกในครอบครัวของคุณไม่สามารถใช้งานได้ อย่างไรก็ตามนี่ไม่ใช่ตัวยับยั้งสำคัญสำหรับผู้โจมตีที่มุ่งมั่นหรือบุคคลที่สามารถเข้าถึงทางกายภาพได้ไม่ จำกัด

การล็อคระดับ ATA นั้นเป็นตัวยับยั้งที่ดีกว่า แต่ก็ไม่ได้สมบูรณ์แบบ อีกครั้งผู้โจมตีที่ได้รับเวลาที่เพียงพอจะได้รับข้อมูลของคุณ

มีการเข้ารหัสดิสก์เต็มรูปแบบและให้การป้องกันที่ดีกว่า มีการเข้ารหัสลับไดรฟ์ด้วยตนเองที่มีอยู่ในฮาร์ดแวร์และมีตัวเลือกซอฟต์แวร์มากมาย การเข้ารหัสข้อมูลทำให้ผู้โจมตีได้รับข้อมูลของคุณได้ยากขึ้น แต่มีวิธีการเข้ารหัสอยู่เสมอ (โดยเฉพาะระวังการเข้ารหัสตะกั่ว - ท่อ )


ตกลงที่เหมาะสม เอกสารของเดลล์ไม่ได้ระบุว่าการย้ายไดรฟ์ไปยังพีซีเครื่องอื่นจะไม่ได้รับรหัสผ่าน HDD แต่ไม่ได้กล่าวถึงการเข้ารหัส ดูเหมือนว่านี่อาจจะเพียงพอหากระบบสูญหายหรือถูกขโมยและจะป้องกันไม่ให้คนส่วนใหญ่เข้าถึงข้อมูลในไดรฟ์ แต่ไม่ปลอดภัยอย่างแน่นอน
10762

2
เรากำลังใช้ Samsung SSD เหล่านี้ที่ใช้รหัสผ่านฮาร์ดไดรฟ์ใน BIOS เพื่อเข้ารหัสตัวเอง: samsung.com/au/consumer/pc-peripherals/solid-state-drive/…ฉันได้ลองใส่ไดรฟ์ที่เข้ารหัสไว้ในเครื่องอื่นแล้ว Windows คิดว่าดิสก์ยังไม่ได้เริ่มต้น
Matthew Lock

8

ด้วยความเคารพเนื่องจากมีความเข้าใจผิดระหว่างรหัสผ่าน BIOS และรหัสผ่าน HDD อีกอย่างหนึ่งระหว่างรหัสผ่านและการเข้ารหัส ความปลอดภัยอีกอย่างหนึ่งระหว่าง HDD และชิปความปลอดภัยบน mobo

  1. BIOS pwds ปกป้องกระบวนการบู๊ตเท่านั้น: หากรหัสผ่านไม่ได้ให้กับ BIOS ในระหว่างการเปิดเครื่องตามลำดับการเปิดเครื่องตามลำดับจะหยุดลง BIOS pwd ถูกเก็บไว้ใน mobo ในขั้นตอนนี้ดิสก์ไม่สามารถเข้าถึงได้ รหัสผ่าน HDD (ชื่อจริงคือ ATA Security) นั้นจัดทำโดยไดรฟ์เท่านั้นและไม่ได้มาจาก BIOS HDD pwds ถูกเก็บไว้ในไดรฟ์เท่านั้น อย่างไรก็ตามไบออสจำเป็นต้องถาม pwd กับผู้ใช้และส่งผ่านไปยังไดรฟ์ (ไม่ได้ตรวจสอบโดยไบออส) HDD จะตัดสินใจว่าจะปลดล็อกไดรฟ์หรือไม่ หากไม่มีข้อมูลสามารถอ่านหรือเขียนได้

  2. รหัสผ่าน HDD ไม่เกี่ยวข้องกับการเข้ารหัสดิสก์ คุณสมบัติความปลอดภัย ATA เป็นเพียงกลไกการล็อค / ปลดล็อค ข้อมูลอาจถูกเข้ารหัสหรือไม่โดยระบบนี่เป็นสิ่งที่โปร่งใสกับตัวควบคุม HDD บนเมนบอร์ด HDD โปรดทราบว่าดิสก์ของ Hitachi Travelstar นั้นมีการเข้ารหัสอยู่ตลอดเวลา แต่ไม่ได้รับการป้องกัน (คีย์การเข้ารหัสจะไม่ถูกปล่อยออกนอกไดรฟ์ เป้าหมายคือการแย่งข้อมูลและบังคับให้อ่านชิป HDD เท่านั้น แต่มีให้ทุกคน การป้องกันจะมีให้โดย ATA Security เท่านั้น

  3. รหัสผ่านและข้อมูลรับรองโดยทั่วไปอาจเก็บไว้ในที่เก็บข้อมูลแบบง่าย (EEPROM เปล่า) หรือในที่เก็บข้อมูลอัจฉริยะ EEPROM เปลือยสามารถอ่านและเขียนได้ หน่วยเก็บข้อมูลอัจฉริยะนำเสนอโดยชิปคอนโทรลเลอร์ขนาดเล็ก (คล้ายกับการ์ด MMC) เช่น "TPM" ที่มีชื่อเสียง (บนมาตรฐานกลุ่มคอมพิวเตอร์ที่เชื่อถือได้) TPM อาจเก็บรหัสผ่านหรือคีย์ crypto อย่างปลอดภัย มันเกี่ยวข้องกับ mobo ของคอมพิวเตอร์ก่อนที่จะถูกใช้ดังนั้นการสลับ TPM ระหว่างคอมพิวเตอร์จะไม่ทำงาน ไม่สามารถอ่านได้ สามารถล้างได้เท่านั้น เพียงแค่บอกว่าคุณให้ pwd ที่คุณต้องการยืนยันชิปบอกว่าใช่หรือไม่ใช่ แต่คุณไม่สามารถเดาได้ว่า pwd ใดที่จะนำไปสู่ใช่ TPM ถูกใช้โดย EFI BIOS ใหม่เพื่อให้แน่ใจว่ากระบวนการบู๊ตนั้นปลอดภัยลายเซ็นของซอฟต์แวร์บูตและฮาร์ดแวร์จะถูกเก็บไว้ใน TPM พวกเขาควรจะแตกต่างกันในเวลาบูต


จากนั้นคุณจะอธิบายรหัสผ่าน HDD ได้อย่างไรโดยการตั้งค่า BIOS (ดูคำตอบของฉัน)
35499

3

สำหรับรหัสผ่านการบู๊ต BIOS คำตอบนั้นถูกต้องง่ายต่อการข้าม โดยปกติจะทำให้ CMOS สั้นลง

สำหรับล็อครหัสผ่านฮาร์ดไดรฟ์ - ฉันเชื่อว่าปกติพวกเขาจะมีชิป crypto ขนาดเล็กบนแผงวงจร เมื่อคุณเปิดใช้งานข้อมูลจำเพาะ ATA จะส่งสัญญาณกลับไปที่ BIOS ซึ่งส่งผลให้เกิดการควบคุมการส่งผ่านไปยังชิป จากนั้นจะถามรหัสผ่าน เริ่มแรกเมื่อคุณตั้งค่าจะใช้รหัสผ่านเข้ารหัสและเก็บไว้ในจานไดรฟ์ หลังจากนั้นเมื่อไดรฟ์ถูกบูตชิป crypto จะทำการควบคุมสอบถามรหัสผ่านและตรวจสอบกับสำเนาที่เก็บไว้ หากพวกเขาตรงกันชิป crypto ช่วยให้การบูตต่อไป

มีไดรฟ์ถอดรหัส ฉันไม่ทราบราคา แต่ฉันเห็นพวกเขา พวกเขาเสียบเข้ากับไดรฟ์โดยตรงและสามารถถอดรหัสการป้องกันประเภทนี้ได้ อาจเป็นไปได้ที่จะสลับแผงวงจร แต่ไม่สามารถใช้งานได้หากผู้ผลิตไดรฟ์ฉลาดพอที่จะย้ายชิป crypto ภายในท่อข้างแผ่นพลาสติก


ฉันเชื่อว่ารหัสผ่าน HDD ATA ไม่ได้ถูกจัดเก็บไว้ในจานไดรฟ์ แต่เพียงแค่อยู่ในชิปบนบอร์ดระบบไดรฟ์ แต่สิ่งนี้อาจขึ้นอยู่กับผู้ผลิต ...
sleske

"ส่งสัญญาณกลับไปที่ BIOS ซึ่งส่งผลให้การควบคุมผ่านไปยังชิป" - ไม่ ไบออสหรือซอฟต์แวร์ผู้ใช้อื่น ๆ (เช่น linux util hdparm) อ่านรหัสผ่านและส่งไปยังไดรฟ์
psusi

0

ดูเหมือนว่ารหัสผ่าน HDD จะไม่ปลอดภัย หากฉันเปลี่ยนการตั้งค่า BIOS ความปลอดภัย> บายพาสรหัสผ่าน> Reboot Bypass ออกจาก BIOS บูตและเมื่อมีการสอบถามรหัสผ่านกด Ctrl-Alt-Del เพื่อรีบูตรหัสผ่านจะไม่ถูกถามและฉันสามารถอ่านไดรฟ์ได้

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.