如何确保无法使用恢复密钥绕过 BitLocker?

tag-icon tag-icon windows security encryption passwords bitlocker
如何确保无法使用恢复密钥绕过 BitLocker?

我想使用 BitLocker 加密硬盘,但这要求我创建恢复密钥。现在,我明白了为什么这很重要,因为在某些情况下,仅凭我的密码无法解锁硬盘,例如用户配置文件损坏。问题是,如果一个铁了心的小偷拿到了我的硬盘,那么他们可能也能拿到我的恢复密钥,假设我真的把它放在家里、随身携带或任何可以远程连接到我的地方。当然,如果仍然需要我的密码来解锁硬盘,那么小偷就无法访问我的数据。但是,如果仅凭恢复密钥就可以解锁硬盘,那么就绝对没有什么可以阻止小偷访问我的数据。这就像一个窃贼用盆栽下面的钥匙进入别人家一样。

我遗漏了什么?如何确保,一方面,只要我记得密码,我就永远不会被锁定在数据之外;另一方面,我不会创建窃贼可以用来绕过我的密码的东西。

注意:我没有使用 TPM。

答案1

简短回答:将恢复密钥存放在安全的地方。也许,对你来说,这是Google 云端硬盘,您可以将其放在钥匙链上的闪存驱动器,或者放在发送给自己的电子邮件中。

窃贼无法生成恢复密钥,除非他们登录到您的计算机。如果他们在没有先获得恢复密钥或您的密码的情况下窃取驱动器,那么 BitLocker 就会开始行动。

你问的是“我怎样才能制作一个别人无法使用的密钥,这样如果我忘记密码,我就可以进入?”简短的回答是你不能。如果你制作了密钥,那就让它很难找到。如果你不制作密钥,那就不要忘记你的密码。这是安全性的一个常见权衡:易用性 <--> 安全性强度

作为Ramhound 说,恢复密钥的额外/次要用途是当驱动器所连接的硬件发生更改时。此时您将需要它来访问数据。

每用户1751825“还有一种情况您可能需要恢复密钥。如果您需要使用命令行实用manage-bde程序解锁驱动器,我相信您可能需要恢复密钥。”

答案2

只有在您忘记密码时才需要恢复密钥,因此在使用恢复密钥时要求输入密码是违反直觉的。如果您确定自己永远不会忘记密码,则无需保留恢复密钥。但这很危险。我认为只需将恢复密钥保存在安全的地方就足够了。

manage-bde 命令行实用程序仅适用于恢复密钥,不适用于密码。不过,在正常使用中不太可能需要此实用程序。

答案3

为什么不拿恢复文件加密是吗?使用另一个你绝对不会忘记的密码,它与你试图保护的“主” BitLocker 密码不同。

使用前列腺特发性硬化症/通用石油气或者卢克斯甚至TrueCrypt(仍然)应该是安全的。

然后将其上传到某些在线存储会更安全,但如果您的计算机发生损坏(火灾、盗窃等),那么就没有理由将恢复文件保存在异地(如果没有当时不可用的 BitLocker 数据,它就毫无用处)。

答案4

将密钥存储在您的 Microsoft 帐户中。只有有权访问您的 Microsoft 帐户的人才能获取密钥。如果您无法登录计算机,请使用附近的另一台计算机或笔记本电脑登录

https://support.microsoft.com/en-us/windows/finding-your-bitlocker-recovery-key-in-windows-6b71ad27-0b89-ea08-f143-056f5ab347d6

以下是来自微软的说明

查找 BitLocker 密钥的位置:

On a printout you saved. Look in places you keep important papers.
Saved on a USB flash drive. Plug the USB flash drive in to your locked PC and follow the instructions. If you saved the key as a text

闪存驱动器上的文件,请使用另一台计算机读取文本文件。在您的 Microsoft 帐户中。要获取恢复密钥,请转到 BitLocker 恢复密钥。

或者向别人寻求帮助:

Ask someone with administrator privileges on the same PC to unlock it with their key.
If your PC is connected to a domain (usually a work or school computer), ask a system administrator for your recovery key.

如果仍然无法登录,则需要重置 PC。了解如何重置。

这和把它放在谷歌驱动器或Dropbox,但我认为它要好得多。在Google 云端硬盘,您可能会忘记将密钥存储在哪里。在 Google Drive 中,这只是另一个可能在某处丢失的文本文件。

对于微软来说,他们不仅仅将其存储在一个驱动器(顺便说一下,这是微软的 Dropbox)。您不会在 OneDrive 上看到密钥。微软有一个专门为您存储密钥的地方。所以它不仅仅是另一个文本文件。它实际上是由制作 BitLocker 系统的一家公司制作的特殊功能。它更容易找到。它更安全。您需要先在手机上验证您的身份,然后才能登录。而且您是在文本上获得的,而不仅仅是文本文件。

此外,如果您有多个密钥或数百台计算机,Microsoft 将命名每个密钥所属的计算机。

如果你将其保存在 Google Drive 上,我想你只需要一个一个地尝试。是的,从技术上讲,恢复密钥也有你可以匹配的文件名。不过,以 Jim-PC 的名义获取密钥比以 12234-fdfdg-blabla-blublu 的名义获取密钥要方便得多。

您基本上将密钥存储在您用于登录计算机的同一帐户中。唯一会失败的情况是如果您忘记了该帐户的密码,但这意味着您无论如何都无法登录计算机。如果您是我,我可能有几个谷歌驱动器不一定链接到我的 Microsoft 帐户。所以我认为使用 Microsoft 服务使用 Microsoft 密钥更合适。

相关内容