我的笔记本电脑上安装了 Windows 10,并激活了 BitLocker,但我喜欢将其置于睡眠模式并使用登录密码。如果有人在这种状态下窃取了我的笔记本电脑,我的数据会有多安全?由于 BitLocker 不会在睡眠模式下加密数据,因此它唯一的保护就是登录密码。如果窃取者重新启动我的电脑,BitLocker 会再次加密它(我们在这里忽略冷启动攻击),一切都会正常,但如果窃取者知道它有 BitLocker 并试图在不重新启动电脑的情况下访问数据,该怎么办?使用 Windows 登录密码有多安全?
答案1
由于 BitLocker 在睡眠模式下不会加密数据,因此它唯一的保护就是登录密码。
当机器处于睡眠模式时,BitLocker 保护绝对是启用的。 BitLocker 是一种全盘加密解决方案,访问数据的唯一方法是提供用户名或 BitLocker 恢复密钥的密码。默认情况下,在达到组策略定义的无效尝试次数后,Windows 会自动锁定帐户。
如果 BitLocker 保护已暂停,则其密钥将写入磁盘。理论上,这可用于攻击,但由于密钥存在于完全加密的磁盘上,因此仍需要访问用户帐户才能访问。
如果窃取者重新启动我的计算机,BitLocker 会再次对其进行加密(我们先忽略冷启动攻击),一切都会正常,但是,如果窃取者知道它有 BitLocker 并尝试在不重新启动计算机的情况下访问数据,该怎么办呢?
仅当恶意方有权访问您的用户帐户时,才能禁用或暂停 BitLocker。 在 Windows 之外,需要 BitLocker 恢复。
Windows 登录密码安全吗?
如果没有恢复密钥和/或无法访问您的用户帐户,则无法访问您的文件。由于用户帐户已自动锁定,因此经过多次无效尝试后,您的帐户访问是安全的。 任何配置更改都将导致需要 BitLocker 恢复密钥来启动系统。
如果有人在这种情况下偷了我的笔记本电脑,我的数据会有多安全?
您的文件已加密。
答案2
我发现了一个漏洞。
根据这个文章,有一款名为 Thunderspy 的工具使用现代 DMA 攻击,即使计算机处于暂停和加密状态也能获取您的数据。
即使您遵循最佳安全做法,在短暂离开时锁定或暂停计算机,并且系统管理员已为设备设置了安全启动、强 BIOS 和操作系统帐户密码,并启用了全盘加密,Thunderspy 仍能发挥作用。攻击者只需要花 5 分钟单独使用计算机、一把螺丝刀和一些易于携带的硬件。
是的,这是有可能的。
答案3
如果您的笔记本电脑有正在使用的 TPM,那么即使在睡眠状态下也可能是安全的。
如果密钥在 RAM 中,那么对于装备精良的攻击者来说,一切都是徒劳。如果窃贼专门想要窃取您的数据,他们很有可能会移除 DIMM,将其插入内存测试器,然后读取所有内存内容并将其保存到文件中以供分析。RAM 中很可能有一个 32 字节序列就是密钥。另外,我不认为缓存是加密的,因此很可能可以直接转储。
几年前就有人演示过 DIMM 拔出和转储攻击。如果我没记错的话,断电后几秒钟内 DIMM 内容是可以完全恢复的。
如果您有理由感到疑惑,请完全关机并确保您拥有 TPM。
答案4
由于 BitLocker 在睡眠模式下不会加密数据,因此它唯一的保护就是登录密码。
无论系统状态如何,您的数据始终是加密的。
当您登录时,Windows 可以访问恢复密钥,因此它可以向您显示信息。
当有人尝试解锁/登录您的计算机时,Bit Locker 无需执行任何操作,只有 Windows 和您的密码才能保护您的电脑。
Bitlocker 正在防止绕过 Windows 保护的访问(重新安装或删除硬盘)