许多 UEFI 供应商为本地机器提供启动密码和管理密码。
对于正常的冷启动或重置,我希望 UEFI 系统简单地选择正确签名的引导加载程序并继续。
我更希望有一个“众所周知”的管理员密码来进入 UEFI不是继续前进。
然而,在理想情况下,如果有人获得了设备的物理控制权(并使用社交工程学获取了 UEFI 管理员访问权限的“众所周知”的密码),我更愿意让设备更难以被重新利用。对于被入侵的系统来说,获取存储在系统上的数据(加密驱动器)在计算上具有挑战性(但理论上并非不可能 :-( )。但有可能,拥有 UEFI 管理员密码将允许“冒名顶替者”加载新配置和签名的引导加载程序。
一个想法是使用类似 RSA SecureID 的东西,或者让 UEFI 输出一个必须与另一台服务器进行核对的一次性代码。
我只看到 UEFI 供应商提供本质上具有“纯文本”密码的产品,用于访问机器上的固件 IF。是否有人遇到过超越正常“输入密码”的 UEFI 固件供应商?