我有一台 Dell Latitude E6400,我想知道设置 BIOS HDD 密码是否安全?这是否对驱动器的内容应用了某种形式的加密,还是只是对访问驱动器进行一些简单的锁定?也就是说,如果笔记本丢失或被盗,有一点知识的人是否可以访问其中的数据?
答案1
BIOS 密码是简单的锁。如果您不提供密码,BIOS 就会停止并且不会继续启动过程。
有两种方法可以绕过这个简单的锁:
清除 BIOS/CMOS 内存(通常需要直接访问主板)。
移除驱动器并将其连接到另一台计算机(更容易)。
更新:正如 Blackbeagle 的回答所提到的,ATA 规范中定义了硬盘密码。这也是一个简单的锁,但它是在驱动器中实现的,因此上述任何步骤都无法绕过它。需要一些技术知识(可能还需要一些额外的硬件)。您可能对以下内容感兴趣这篇关于硬盘密码的入门文章。
BIOS 锁在许多电影情节场景中都是一种不错的威慑手段:技术知识有限的人,或者攻击者可以访问计算机但没有足够的时间或自由将其拆开的情况。如果你只是想阻止你的同事或家人访问,这种方法很有效。然而,对于一个坚定的攻击者或拥有无限物理访问权限的人来说,这并不是一个有效的威慑手段。
ATA 级锁是一种更好的威慑手段,但它并不完美。同样,一个有决心的攻击者,只要有足够的时间,就会得到你的数据。
提供全盘加密,提供更好的保护。 自加密驱动器硬件上可以做到这一点,软件上也有很多选择。数据加密使攻击者更难获取你的数据,但总有办法绕过加密。(特别是,要小心铅管密码分析。
答案2
恕我直言,BIOS 密码和 HDD 密码之间存在误解。密码和加密之间也存在误解。HDD 安全性和主板上的安全芯片之间也存在误解。
BIOS 密码仅保护启动过程:如果在开机过程中未向 BIOS 提供密码,则开机过程将停止。BIOS 密码存储在主板上。在此阶段,甚至尚未访问磁盘。HDD 密码(实际名称为 ATA Security)仅由驱动器提供,而不是由 BIOS 提供。HDD 密码仅存储在驱动器上。但是 BIOS 需要向用户询问密码并将其传递给驱动器(BIOS 也不会检查)。然后 HDD 将决定是否解锁驱动器。如果不解锁,则无法读取或写入任何数据。
HDD 密码与磁盘加密无关。ATA 安全功能只是一种锁定/解锁机制。系统可以加密数据,也可以不加密,这对于 HDD 上的 HDD 控制器来说是透明的。请注意,某些 Hitachi Travelstar 磁盘始终是加密的,但不受保护(加密密钥不会在驱动器外部发布,只有驱动器知道)。目标是扰乱数据,并强制仅由 HDD 芯片读取它们,但每个人都可以使用。只有通过 ATA 安全才能提供保护。
密码和凭证通常可以存储在简单存储(裸 EEPROM)或智能存储中。裸 EEPROM 可以读取和写入。智能存储由微控制器芯片(类似于 MMC 卡)提供,例如著名的“TPM”(可信计算组标准之一)。TPM 可以安全地存储密码或加密密钥。它们在使用前与计算机主板相关联,因此在计算机之间交换 TPM 不起作用。无法读取它们。它们只能被清除。简单地说,您提供要确认的密码,芯片会说是或否,但您无法猜测哪个密码会导致是。新的 EFI BIOS 使用 TPM 来确保启动过程是安全的,启动软件和硬件的签名存储在 TPM 中。如果它们在启动时不同,用户将被告知并需要确认他/她是否要继续不安全。
答案3
对于 BIOS 启动密码,答案是正确的——相对容易绕过。通常将 CMOS 短路。
对于硬盘密码锁 - 我相信它们通常在电路板上有一个小型加密芯片。当您启用它们时,ATA 规范会将信号发送回 BIOS,从而将控制权传递给芯片。然后它会要求输入密码。最初,当您设置密码时,它会获取密码,对其进行加密,并将其存储在驱动器盘片上。随后,当驱动器启动时,加密芯片会接管控制,查询密码并将其与存储的副本进行核对。如果它们匹配,加密芯片将允许进一步启动。
有驱动器解密器。我不知道价格,但我见过。它们直接插入驱动器,可以解密这种保护。也许可以更换电路板,但如果驱动器制造商足够聪明,将加密芯片移到盘片旁边的外壳内,那就行不通了。
答案4
HDD 密码似乎不安全。如果我更改 BIOS 设置“安全”>“密码绕过”>“重启绕过”,退出 BIOS,启动,当出现密码询问时,按 Ctrl-Alt-Del 重新启动,则不会询问密码,我可以读取驱动器。