È necessario avere password del disco rigido e del BIOS se si ha anche la crittografia completa del disco, o almeno la password del disco rigido non è necessaria perché ci sarebbero due password che proteggono essenzialmente la stessa cosa?
È necessario avere password del disco rigido e del BIOS se si ha anche la crittografia completa del disco, o almeno la password del disco rigido non è necessaria perché ci sarebbero due password che proteggono essenzialmente la stessa cosa?
Le password del BIOS sono abbastanza inutili non appena qualcuno ha un accesso fisico indisturbato alla tua macchina. La maggior parte delle schede madri dispone di un interruttore o di un ponticello che è possibile utilizzare per ripristinare il CMOS; se ciò fallisce, molto probabilmente avrai successo rimuovendo la batteria CMOS e aspettando qualche secondo, di solito la password del BIOS viene cancellata o ripristinata a un valore predefinito (noto come google). Se anche questo non funziona, la soluzione più semplice è rimuovere il disco rigido dal sistema originale e montarlo su un'altra macchina.
L'unico valore di una password del BIOS è impedire agli utenti (legittimi) di manipolare le impostazioni del BIOS in una situazione supervisionata (ad es. computer pubblici: aprendo uno di questi e rimuovendo l'HDD si noterà, ma di solito si può farla franca con il riavvio del computer e l'accesso al BIOS). In altre parole: una password BIOS protegge solo se l'accesso fisico alla macchina è limitato.
La password del disco rigido (ovvero la passphrase che si utilizza per sbloccare la crittografia del disco completo) è necessaria e, se è stata configurata correttamente, non importa dove si monta il disco, sarà sempre necessario la passphrase per dare un senso ai dati (che, o forza bruta - la crittografia). Anche con accesso fisico illimitato all'intera macchina, la crittografia dell'intero disco deve essere interrotta per poter accedere ai dati.
Sono per lo più d'accordo con @tdammers, tuttavia le password del BIOS sono in realtà molto utili per le build tipiche delle grandi aziende. Un utente malintenzionato che ha accesso fisico in questo tipo di scenario non sarà in grado di disabilitarlo semplicemente rimuovendo la batteria CMOS - poiché per il ripristino è necessario il codice di ripristino aziendale.
Questo è un controllo abbastanza importante - per alcuni attacchi di alto valore, l'attaccante dovrebbe ottenere l'accesso al dispositivo, rubare dati o implementare qualche tipo di exploit, quindi nascondere le proprie tracce e lasciare la macchina in uno stato in cui l'intrusione non è scoperto Con la password del BIOS, un attacco MAIL è molto più difficile da eseguire.
Leggi altre domande sui tag password-policy