为什么 Bitlocker 不允许我生成预启动密码?(仅限 PIN)

为什么 Bitlocker 不允许我生成预启动密码?(仅限 PIN)

目前,我在两台都具有 TPM 的机器上使用 Bitlocker,起初它从未要求我提供预启动身份验证方法,因为我忘记编辑启用此功能的 GPO。

现在我这样做了,它允许我选择以下三个选项之一:-输入 PIN -插入 USB 闪存驱动器 -让 Bitlocker 自动解锁我的驱动器

我对不能只在密码中使用数字这一事实感到不满意,因此我在 GPO 中启用了增强型密码,允许我使用特殊字符,但实际上 - 我想使用比 20 个字符更长的密码。

有没有办法获取“输入密码”选项?我的朋友有这个选项,但我们无法弄清楚为什么我没有这个选项。

任何帮助都将非常感激。

谢谢。

答案1

这是正常的。您看到的菜单不是针对独立保护器的 - 它实际上是与基于 TPM 的保护器一起使用的选项。您可以从“仅 TPM”或“TPM + PIN”或“TPM + 启动密钥”中进行选择。文档

如果您想使用密码,则需要移除 TPM 保护器并使用仅有的密码,这实际上可能会导致安全级别较低,因为数据不再受硬件约束。您应该能够使用命令manage-bde -protectors来执行此操作。

但实际上 - 我想使用比 20 个字符更长的密码。

20 应该没问题。TPM+PIN 可以更短,因为它有硬件限制的尝试次数,很像 iPhone 密码。

加密密码必须很长,因为一旦有人在几分钟内拿到了你的磁盘,他们就可以简单地复制它,并且没有什么可以阻止他们针对副本尝试大量密码。

同时,PIN 由 TPM 本身进行验证 - 硬件模块不会简单地为您提供密码哈希值;您使用 PIN 唯一能做的事情就是将其提交给 TPM 进行验证,然后您会得到“是”或“否”或“尝试次数过多,请在 10 分钟后重试”的答案。

对于具有 TPM 2.0 的机器,Windows 配置的标准速率限制有记录成为:

Windows 10 将最大计数配置为 32,修复时间为 10 分钟。这意味着,每连续开机运行十分钟而没有发生增加计数器的事件,就会导致计数器减少 1。

因此,在最初的免费尝试之后,攻击者在猜测 TPM PIN 时每天只能获得 144 次尝试机会,而破解密码哈希时每天则有数十亿次尝试机会。

(就防篡改而言,廉价的 TPM 可能不会完全防弹,但除非它持有价值数百万的比特币,否则你可能还是安全的。这时你可能需要考虑你的密码是否会进入硬件键盘记录器......)

相关内容