Bitlocker: chiave USB vs password?

Naviga le tue risposte
2

Il mio laptop Windows 8.1 Pro non ha TPM, quindi posso usare bitlocker con una chiave USB o una password.

Se utilizzo una password, saranno 20 caratteri quasi casuali, non conterrà parole in nessuna lingua, avrà almeno una lettera minuscola, una maiuscola, un numero e un carattere speciale.

Ora, probabilmente chiedi, in quale ambiente utilizzerai quel portatile? È un laptop, quindi lo porterò con me ovunque. Sto usando il bitlocker per proteggerlo da:

a ) ladri (molto probabilmente non avranno idea di cosa sia la crittografia)

b ) amici (che sanno quale crittografia è migliore di me). Ci sediamo vicini l'uno all'altro e non voglio che vedano i miei progetti personali.

Devo usare una chiave USB o una password e perché?

modifica : in termini di protezione da forza bruta, quanto è migliore la chiave USB?

    
posta SuperHeroY 09.05.2015 - 21:24
fonte

3 risposte

2

Perché non entrambi? Se abiliti BitLocker senza un TPM (editor di criteri di gruppo), quindi digli di usare "TPMAndPINAndStartupKey", dovrebbe richiedere sia la chiave di avvio basata su file che il PIN (che, se abiliti "PIN avanzati" nell'editor di criteri di gruppo , possono essere passphrase effettivi).

Inoltre, in entrambi i casi, non mi preoccuperei troppo della forzatura bruta. BitLocker ha protezioni ragionevolmente forti contro questo, utilizzando una funzione di derivazione a chiave lenta (anche se non conosco i dettagli) per il "PIN". È anche peggio se stai passando attraverso il normale processo di sblocco, in cui l'interfaccia utente stessa renderà i tentativi di forza bruta poco pratici, ma i tuoi "amici" probabilmente estrarrebbero il disco per attacchi offline.

    
risposta data 16.09.2015 - 00:26
fonte
2

La decisione qui è tra qualcosa che conosci contro qualcosa che hai .

Password, qualcosa che conosci :

  • La password non può essere rubata insieme al tuo laptop.
  • Gli umani sono cattivi nella scelta di password sicure.

Chiave USB, qualcosa che hai :

  • La chiave USB avrà alcune proprietà crittografiche garantite a differenza della maggior parte delle password.
  • Se mantieni la chiave USB con te, potrebbe essere facilmente rubata insieme al tuo laptop.

Quindi per i due avversari che hai menzionato. I ladri potrebbero essere in grado di rubare la tua chiave USB insieme al tuo laptop. Gli amici potrebbero anche essere in grado di accedere alla tua chiave USB se non la si protegge. D'altra parte, i ladri non possono ottenere la tua password se rubano il tuo dispositivo e gli amici non possono ottenerlo casualmente se si adattano alla mia definizione di amico di buon senso.

Tuttavia, se hai lo scenario in cui qualcuno ha accesso al tuo dispositivo senza che tu lo sospetti, sei vulnerabile a molti vettori di attacco:

  • Qualcuno installa un piccolo dispositivo keylogging che intercetta la tastiera (applicabile solo se si utilizza la tastiera periferica)
  • Qualcuno con accesso fisico al dispositivo lo reimposta e si avvia in un'utilità di eliminazione della memoria. Il dump della memoria può quindi essere analizzato per recuperare la chiave Bitlocker (Elcomsoft Forensic Disk Decryptor può farlo). Questo può essere evitato con un TPM.
  • Qualcuno ti spaventa e ti vede digitando la tua password.
  • Se si dispone di una porta FireWire, è possibile scaricare la memoria attiva sfruttando DMA. Dump dà loro la chiave. Penso che sia possibile prevenirlo attraverso i Criteri di gruppo, impedendo l'attivazione dei dispositivi FireWire se il dispositivo è bloccato.

Oltre a questo, vale la pena ricordare che se il malware entra nella tua macchina (ad esempio, l'amico ti inganna nell'eseguire qualcosa) può facilmente rubare la chiave di crittografia (e fare qualsiasi altra cosa).

A mio parere, un TPM è una parte importante della configurazione di BitLocker in modo sicuro.

Alcune informazioni aggiuntive:

risposta data 15.09.2015 - 23:04
fonte
0

Vale la pena considerare che la memoria flash su un dispositivo flash USB può essere attaccata e letta quando viene rubata. Molti strumenti di acquisizione forense includono lo scaricamento della memoria, quindi se l'unità di memoria flash USB viene rubata insieme al laptop, sei a conoscenza del compromesso ma non puoi fare nulla se l'avversario lo raggiunge. L'aggiunta di un secondo dispositivo USB oltre a TPM e una password sicura potrebbe fornire un'opzione più sicura rispetto a un singolo dispositivo USB, poiché il ladro avrebbe bisogno sia di accedere al computer.

Esistono ancora vettori di attacco che possono essere utilizzati per attaccare la macchina mentre i dati non sono crittografati e possono semplicemente raschiare la password dalla RAM del computer. Questi includono l'accesso alla memoria DMA; registratori di tastiera e malware per sniffare USB; l'attacco RAM congelato; TEMPEST, van Eck o altri attacchi ai canali laterali; un attacco di rete in tempo reale che compromette il computer e legge i dati mentre lo si utilizza legittimamente; e c'è sempre il surf sulle spalle e il furto del dongle. Essere consapevoli della navigazione a spalla e delle persone intorno a te, spegnere completamente il computer quando si esce, eseguire software anti-virus e anti-malware e proteggere sempre le chiavi USB dovrebbe diventare prassi standard se si ritiene che i propri amici siano in grado di questi attacchi .

    
risposta data 16.09.2015 - 05:55
fonte

Leggi altre domande sui tag

Impedisci lo script di shell all'interno del file immagine Gestione password: in che modo un amministratore deve reimpostare la password per un utente?