我正在考虑使用 USB 密钥而不是密码来创建 LUKS 加密来解锁我的硬盘。
然而,有些人告诉我,使用 USB 密钥进行身份验证不如密码安全。我的问题是:它的安全性如何降低?我正在考虑一种场景,我仅在自己的设备上使用所述 USB 密钥,并且在这种情况下我的 USB 密钥永远不会被盗。
我知道我可以更进一步并设置两因素身份验证,但这不是我要问的。
答案1
这取决于你的观点。它更安全,因为密钥文件通常是真正随机的,而密码往往又短又弱。
然后,密码短语本身需要大约 5 美元才能破解,无论是使用键盘记录器加密狗还是修改后的 bootloader/initramfs 或臭名昭著的XKCD解密扳手。如果密钥文件只是 USB 记忆棒上的文件,则同样如此,而 HDD 上的 bootloader/initramfs 不受保护。
另一方面,USB 密钥可以让任何人访问 - 如果您将其插入电源而不是始终随身携带。任何人都可以快速轻松地复制无人看管的 USB 记忆棒...
我两者都做...一个 USB 密钥,其中包含引导加载程序、内核、带有 LUKS 加密密钥文件的 initramfs,需要密码才能访问。因此,您需要密钥和密码才能解锁。不确定你是否可以将其称为两因素身份验证 - 这是我在保持实用性的同时愿意做的事情的极限。 (可启动 USB 记忆棒还可以用于携带十几张 LiveCD)。
无论如何,你的威胁模型是什么,你有没有想过?
如果您让我搬进您的房子,您是否希望我能够轻松访问您的数据?
如果你明天去世,你希望你的亲戚能够解密你的东西吗?
使用不带密码的 USB 密钥,这是可能的 - 并且对于那些家庭照片来说,只有您拥有......的副本
我有一台在启动时自行解密的服务器 [使用硬件指纹,如 cpu、ram、mac 地址...],根本不需要交互...这里的威胁模型是有人可能会删除驱动器并将其放入另一个驱动器中顾客的盒子,或者类似的东西。