throble
@throble

Насколько эффективно использование BitLocker для полного шифрования диска? Нужен ли сложный пароль?

Система


Ноутбук с установленной Windows 7 Ultimate и, соответственно, возможностью включить полное шифрование диска. При этом, как известно, создается (если по какой-либо причине не был создан при установке) новый раздел объемом примерно 200 Mb, на котором система хранит некоторый набор системных файлов, необходимых для запуска Windows — данный раздел не шифруется.

Ключ шифрования хранится в TPM-чипе. Если в ноутбуке отсутствует TPM-чип, используется метод загрузки со вставленным usb-flash, на котором хранится ключ шифрования.

Способ загрузки ключа шифрования с флэшки кажется даже безопаснее, т.к. без флэшки Windows откажется загружаться в принципе.

Вопрос: Необходимо ли ставить сложный пароль на вход в Windows?


Как я понимаю, все данные шифруются с использованием файла-ключа и пароля на вход в систему. Что будет, если загрузится с одного из многочисленных дисков для сброса пароля и сбросить пароль? Как я понимаю, данные будут безвозвратно утеряны, ну или как минимум недоступны с новым паролем.

Соответственно, при условии что пароль не настолько легкий, чтобы его можно было вручную подобрать в log on screen, то вроде бы можно не заботиться о его сложности и длине.

Однако, как я понимаю, т.к. Windows не расшифровывает зашифрованные данные до ввода пароля, то очевидно файл с хэшем пароля хранится на незашифрованном разделе. Соответственно его можно скопировать и дальше уже как обычно взламывать пароль подбором. В таком случае, к сложности пароля стоит относится как обычно — с должным вниманием.

Не смог найти документацию о том, как же технически работает BitLocker, поэтому спрашиваю, не знает ли кто, прав ли я в своих рассуждения и догадках.

Спасет ли относительно легкий, но поддающийся брут форсу пароль при использовании BitLocker для полного шифрования всех дисков, включая системный?
  • Вопрос задан
  • 17013 просмотров
Пригласить эксперта
Ответы на вопрос 8
Shtirlits
@Shtirlits
Любое шифрование легко декриптуется методами ректотермального криптоанализа. А если серъёзно, зачем шифровать все и вся?? больше проблем ИМХО, если система слетит вероятность все потерять != 0. Тот же truecrypt содержит шифрованый раздел в файловом контейнере, можно все нужное хранить там, да и потерять его сложнее, да и скрытый контейнер внутри контейнера можно сделать, т.е. если ректотермальный криптоанализ сработал, отдаете основной пароль, а там например просто порно, а важные данные так и не видны.
Ответ написан
Sicness
@Sicness
Какая-то странная штука, если используется пароль на вход в систему… Возникает вопрос: а если пользователей много? :)
На сколько я понял по вики, в Вашем случае ключ хранится в TPM от куда и берется. То есть пароль не причем. Согласно вики, если хотите пароль, то используется еще так называемый PIN-код. То есть, на сколько я понял, пароль от пользователя в Windows тут не причем.
Рекомендую обратить внимание на www.truecrypt.org
Ответ написан
NanoDragon
@NanoDragon
Лучше всего шифровать весь диск, что-бы кто-то умный не загрулся с флешки и не слил/залил инфу на хард.
Для этого ИМХО лучшая программа DiskCryptor(Автор из РФ), у нее есть плюс по сравнению с труекриптом в том, что она может шифровать не размеченный хард, и свиду он как чистый.
Ответ написан
@ZloyKakPes
Самый безопасный способ — ТРМ и USB брелок :)
Насколько я помню — ключ лежит шифрованный в нешифрованной бутовой области, а ключ к нему это PIN, TMP или USB, или же вариация этих вариантов.
При сбросе пароля дела не будет — данные останутся зашифрованы, и система уйдёт в режим восстановления.
Ответ написан
@ZloyKakPes
точно. Даже в случае перестановки Windows имея ключ можно восстановить доступ к данным.
Ответ написан
Комментировать
throble
@throble Автор вопроса
В общем прихожу к выводу, что имеет смысл завести, как линуксоиды, отельный раздел а-ля home, сделать на него симлинк профиля пользователя и уже этот раздел шифровать BitLocker'ом, т.к. повторюсь, это глупо тратить процессорное время на шифрование/дешифрование исполняемых файлов и библиотек.
Ответ написан
@vladandreev174
Шифровать данные можно на всех флешках без исключения?
А то при покупке флешок в и-нет магазинах пишет в описание, что можно шифровать данные на флешке, а выбираю другую - ничего неупоминается о шифровании.
Ответ написан
asilonos
@asilonos
Программист
Мое мнение,
- Полное шифрование диска не имеет смысла, т.к. не спасает в некоторых случаях.
- Более удобно защищать и шифровать именно важные данные с помощью криптоконтейнеров таких кк VeraCrypt, Rohos Mini Drive. И сразу же настроить постоянный бакап контейнера в Облако путем размещения файла контейнера в папке Google Drive на ПК.
- пароль на Windows не имеет смысла делать сложным, НО Главное чтобы он не был "12345", т.е. подойдет что-то 8ми символьное типа Mihail51!

- В случе с BitLocker работает принцип "Шифрование Не Достаточно" - нет открытого исходного кода всего протокола и сообщество не может изучить его. Я лично не доверяю им.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы