Platsen där ett startlösenord eller lösenord lagras beror på det specifika systemet och implementeringen. Här är en uppdelning av de gemensamma platserna och teknologierna involverade:
1. BIOS/UEFI (firmware):
* Den vanligaste platsen: Detta är den vanligaste platsen du hittar start/power-on-lösenord. BIOS (Basic Input/Output System) eller dess moderna ersättning, UEFI (Unified Extensible Firmware Interface), är ett firmwareprogram som körs när du först slår på din dator. Den initialiserar hårdvaran och överlämnar sedan kontrollen till operativsystemet.
* Icke-flyktig lagring: Lösenordet (ofta en hashad version av det, för säkerhet) lagras i icke-flyktigt minne i moderkortets firmwarechip. Detta minne behåller sitt innehåll även när datorn är avstängd. Vanliga typer av icke-flyktigt minne som används inkluderar EEPROM (elektriskt raderbart programmerbart skrivskyddsminne) och flashminne.
* Hur det fungerar: När datorn startar kontrollerar BIOS/UEFI för ett lösenord. Om en är inställd kommer systemet att uppmana användaren att ange det * innan * operativsystemet laddas. Om rätt lösenord anges fortsätter startprocessen. Om ett felaktigt lösenord anges för många gånger kan systemet låsa ner eller kräva en speciell administratörskod för att återställa lösenordet (om ett är konfigurerat).
* Säkerhetsöverväganden: Även om det är bekvämt, är det inte helt säkert att lagra lösenordet i BIOS/UEFI. Det finns metoder (även om de ofta kräver fysisk åtkomst till datorn) för att kringgå eller återställa ett BIOS/UEFI -lösenord, till exempel:
* CMOS -batteriåterställning: Att ta bort CMOS-batteriet på moderkortet (ett litet, myntformat batteri) återställs ofta BIOS-inställningarna, inklusive lösenordet. Men detta återställer också andra BIOS -inställningar, så det är inte idealiskt.
* jumperinställningar: Vissa moderkort har hoppare som, när de konfigureras om, kan tvinga en BIOS -återställning.
* Bios blinkande: I vissa fall är det möjligt att blinka BIOS-chipet med en ny firmware-bild, vilket effektivt raderar det gamla lösenordet. Detta är en mer avancerad teknik och medför en risk för att tegel moderkortet om det inte görs korrekt.
* Hårdvaruhackning: Sofistikerade angripare med specialiserad utrustning kan ibland direkt komma åt och manipulera innehållet i firmwarechipet.
2. TPM (pålitlig plattformsmodul):
* Hårdvarubaserad säkerhet: A TPM är ett dedikerat säkerhetschip på moderkortet som tillhandahåller hårdvarubaserade säkerhetsfunktioner. Det kan användas för att säkert lagra kryptografiska nycklar, inklusive de som är relaterade till autentisering.
* uppmätt stövel: TPMS används ofta i samband med "uppmätt start" eller "Secure Boot" -processer. I det här fallet mäter TPM startprocessen och tar kryptografiska hashs av bootloader, operativsystemkärnan och andra kritiska komponenter. Dessa mätningar lagras i TPM, och TPM kan konfigureras för att endast frigöra vissa nycklar om startprocessen anses vara "pålitlig" (dvs mätningarna matchar förväntade värden). Detta hjälper till att skydda mot malware i starttid.
* BitLocker (Windows) och liknande kryptering: TPMS används ofta för att lagra nycklarna för krypteringstekniker med full skiva som Microsoft BitLocker. Medan BitLocker själv använder ett lösenord eller PIN -kod, lagras ofta * nyckeln * för att dekryptera enheten i TPM. Detta innebär att om TPM upptäcker manipulation med startprocessen, kan den vägra att släppa nyckeln och förhindra att enheten är dekrypterad.
* Förbättrad säkerhet: Att lagra nycklar i en TPM är i allmänhet säkrare än att lagra dem direkt i BIOS, eftersom TPM är ett dedikerat säkerhetschip med manipuleringsresistenta funktioner.
3. Programvarubaserad fullskisk kryptering (FDE) -lösningar:
* Operativsystemnivå: Lösningar som Veracrypt, Luks (Linux Unified Key Setup) och FileVault (MacOS) krypterar hela hårddisken. Lösenordet du anger för att låsa upp enheten används för att härleda dekrypteringsnyckeln.
* Nyckellagring: Själva krypteringsnyckeln (eller en del av den) * kan * förvaras på disken i en krypterad form, skyddad av ditt lösenord. Bra implementeringar använder emellertid nyckelderivationsfunktioner (KDF) som gör det beräkningsmässigt svårt att härleda dekrypteringsnyckeln från lösenordet ensam. Ofta kräver de både lösenordet * och * lite hårdvaruspecifik hemlighet (som en TPM).
* bootloader modifiering: Dessa lösningar modifierar ofta bootloader för att fråga efter lösenordet * före * operativsystemet laddas. Detta gör att hela enheten kan dekrypteras innan operativsystemet startar.
* Lösenordskomplexitet: Säkerheten för dessa lösningar beror starkt på styrkan i ditt lösenord. Ett svagt lösenord gör det mycket enklare för en angripare att trycka på nyckeln och dekryptera enheten.
4. SMART CARDS/HARDWARE TOKENS:
* Extern säkerhet: Vissa system stöder autentisering med smartkort eller hårdvarukens. Dessa enheter lagrar autentiseringstangenterna säkert och kräver fysisk besittning av enheten för att logga in.
* hur de fungerar: När du startar datorn blir du ombedd att infoga smartkortet eller ansluta hårdvarutoken. Systemet kommunicerar med enheten för att verifiera din identitet.
* Hög säkerhet: Smarta kort och hårdvaruketter ger en hög säkerhetsnivå, eftersom autentiseringsnycklarna inte lagras på själva datorn.
Sammanfattningsvis:
* troligen: Start/power-on-lösenordet lagras i BIOS/UEFI-firmware.
* allt vanligare: TPMS blir mer utbredd för att säkra nycklar, särskilt i samband med kryptering av full disk.
* Operativsystem kontrollerat: Krypteringslösningar för full diskkrypteringsbutik (eller krypterade versioner av nycklar) på disken, ofta med hjälp av en TPM.
* Högsta säkerhet: Smartkort/hårdvara tokens lagrar autentiseringsnycklar säkert utanför datorn.
Viktiga överväganden:
* Lösenordsstyrka: Oavsett var lösenordet lagras, använd ett starkt, unikt lösenord.
* Säkerhetsmetoder: Aktivera funktioner som Secure Boot och TPM -stöd i dina BIOS/UEFI -inställningar om det är tillgängligt.
* Fysisk säkerhet: Skydda den fysiska säkerheten för din dator för att förhindra att angripare får tillgång till hårdvaran.
* Backup och återhämtning: Se till att du har en säkerhetskopierings- och återställningsplan om du glömmer ditt lösenord eller ditt systemfel. För krypterade enheter, följ försiktigt de återställningsförfaranden som beskrivs av din krypteringsprogramvara. Att förlora krypteringsnyckeln motsvarar att förlora all data på enheten.
Den specifika plats- och säkerhetsmekanismerna beror på systemets hårdvara, programvara och säkerhetsinställningar. Kontakta din dators dokumentation eller dokumentationen för din specifika krypteringsprogramvara för mer information.
