我刚刚订购了一台新机器。旧机器没有加密,但在收到新机器之前,我想问一下新加密的策略。我最担心的是丢失密码并导致系统无法访问。
因此,我拥有的是主机,它将运行 Windows 8、备份硬盘(目前我的主机是笔记本电脑,因此它们是 USB)和我的 Android 设备。我还有一个 yubikey,但目前我不使用它。
我希望主机在启动前询问磁盘密码。我如何做到这一点还没有决定,但我认为这对我的问题没有作用。第二个是用户帐户的密码。这通常只是我的帐户,但可能会有一个访客帐户。然后备份硬盘也必须加密。最后,Android 设备需要另一个密码。
因此,有几个密码应该很长,而且不能忘记。yubikey 可以存储一个静态密码,第二个插槽可以用于我的 Windows 帐户的双因素身份验证,但我如何安全地存储其他密码?它们应该很长,但我不想每次都输入外部磁盘的密码。
我目前的想法如下:机器启动后,我让 yubikey 输入静态密码来解密主磁盘(可能用于 truecrypt 或其他)。Windows 启动后,我现在可以使用双因素身份验证登录。登录后启动的脚本可以输入外部磁盘的密码并安装它们。(也就是说,密码将存储在主硬盘上。)
这安全吗,或者有更好的方法吗?
(我希望我解释得很清楚并且这个问题适合这里。)
答案1
这里有几个问题。
首先,我不认为 TrueCrypt 适用于 Windows 8.1。相反,它确实可以工作,但由于 UEFI BIOS 的问题,无法用于加密启动分区。如果您拥有 W8.1 Pro 或 Enterprise,则可以使用 Bitlocker。否则,您将需要另一个付费工具。
@JKM 已经提到了脚本中的问题。
更好的方法是使用 Keepass 之类的东西来保存密码。您仍然需要整理启动盘密码、Windows 密码和 Keepass 密码。但您可以使用 Keepass 运行可以安全传递用户 ID/密码的脚本。因此 Keepass 会保存您的 USB 磁盘密码并能够挂载驱动器。
我使用类似的东西。我有许多 Truecrypt 文件,在需要时将它们挂载为虚拟驱动器,Keepass 有条目可以在需要时自动将文件挂载为驱动器。我只需要记住 Keepass 的密码。