1. BIOS/UEFI (firmware):
* La posizione più comune: Questo è il posto più frequente che troverai password di avvio/accensione. Il BIOS (sistema di input/output di base) o la sua moderna sostituzione, UEFI (interfaccia del firmware estensibile unificata), è un programma di firmware che viene eseguito quando si accende il computer. Inizializza l'hardware e quindi distribuisce il controllo sul sistema operativo.
* Storage non volatile: La password (spesso una versione hash di essa, per la sicurezza) è memorizzata in memoria non volatile all'interno del chip del firmware della scheda madre. Questa memoria conserva il suo contenuto anche quando il computer è spento. I tipi comuni di memoria non volatile utilizzati includono EEPROM (memoria di sola lettura programmabile elettricamente) e memoria flash.
* Come funziona: All'avvio del computer, il BIOS/UEFI verifica una password. Se uno è impostato, il sistema richiederà all'utente di inserirlo * prima di * il sistema operativo carichi. Se viene inserita la password corretta, il processo di avvio continua. Se una password errata viene inserita troppe volte, il sistema potrebbe bloccare o richiedere un codice di amministratore speciale per reimpostare la password (se uno è configurato).
* Considerazioni sulla sicurezza: Sebbene conveniente, la memorizzazione della password nel BIOS/UEFI non è perfettamente sicura. Esistono metodi (sebbene richiedano spesso un accesso fisico al computer) per bypassare o ripristinare una password BIOS/UEFI, come ad esempio:
* Ripristino della batteria CMOS: La rimozione della batteria CMOS sulla scheda madre (una piccola batteria a forma di moneta) ripristinerà spesso le impostazioni del BIOS, inclusa la password. Tuttavia, questo ripristina anche altre impostazioni del BIOS, quindi non è l'ideale.
* Impostazioni jumper: Alcune schede madri hanno jumper che, se riconfigurati, possono forzare un ripristino del BIOS.
* BIOS Flashing: In alcuni casi, è possibile riempire il chip del BIOS con una nuova immagine del firmware, cancellando efficacemente la vecchia password. Questa è una tecnica più avanzata e comporta il rischio di bare la scheda madre se non eseguita correttamente.
* Hacking hardware: Gli aggressori sofisticati con attrezzature specializzate possono talvolta accedere e manipolare direttamente il contenuto del chip del firmware.
2. TPM (Modulo della piattaforma di fiducia):
* Sicurezza basata su hardware: Un TPM è un chip di sicurezza dedicato sulla scheda madre che fornisce funzionalità di sicurezza basate su hardware. Può essere usato per archiviare in modo sicuro le chiavi crittografiche, comprese quelle relative all'autenticazione.
* Avvio misurato: I TPM sono spesso utilizzati insieme ai processi di "avvio misurato" o "avvio sicuro". In questo caso, il TPM misura il processo di avvio, prendendo hash crittografici del bootloader, del kernel del sistema operativo e altri componenti critici. Queste misurazioni sono memorizzate nel TPM e il TPM può essere configurato per rilasciare determinati tasti solo se il processo di avvio è considerato "affidabile" (ovvero le misurazioni corrispondono ai valori previsti). Questo aiuta a proteggere dal malware del tempo di avvio.
* BitLocker (Windows) e crittografia simile: I TPM sono comunemente usati per archiviare le chiavi per tecnologie di crittografia a discorso completo come Microsoft Bitlocker. Mentre BitLocker stesso utilizza una password o un pin, il * tasto * per decrittografare l'unità viene spesso archiviato nel TPM. Ciò significa che se il TPM rileva la manomissione del processo di avvio, può rifiutare di rilasciare la chiave, impedendo che l'unità venga decrittografata.
* Sicurezza migliorata: La memorizzazione delle chiavi in un TPM è generalmente più sicura che conservarle direttamente nel BIOS, poiché il TPM è un chip di sicurezza dedicato con caratteristiche resistenti alla manomissione.
3. Soluzioni FDE (Full-Disk Encryption (FDE):
* Livello del sistema operativo: Soluzioni come Veracript, Luks (Linux Unified Key Setup) e FileVault (macOS) crittografa l'intero disco rigido. La password che inserisci per sbloccare l'unità viene utilizzata per derivare la chiave di decrittografia.
* Archiviazione chiave: La chiave di crittografia stessa (o una parte di una parte) * potrebbe * essere memorizzata sul disco in un modulo crittografato, protetto dalla password. Tuttavia, le buone implementazioni utilizzano le funzioni di derivazione chiave (KDF) che rendono computazionalmente difficile derivare la chiave di decrittografia dalla sola password. Spesso richiedono sia la password * che * alcuni segreti specifici per hardware (come un TPM).
* Modifica bootloader: Queste soluzioni spesso modificano il bootloader per richiedere la password * prima di caricare il sistema operativo. Ciò consente di decrittografare l'intero unità prima dell'inizio del sistema operativo.
* Complessità della password: La sicurezza di queste soluzioni dipende fortemente dalla forza della tua password. Una password debole rende molto più facile per un utente malintenzionato per forzare la chiave e decrittografare l'unità.
4. Smart card/token hardware:
* Sicurezza esterna: Alcuni sistemi supportano l'autenticazione utilizzando smart card o token hardware. Questi dispositivi memorizzano in modo sicuro le chiavi di autenticazione e richiedono il possesso fisico del dispositivo per accedere.
* Come funzionano: Quando si avvia il computer, ti verrà richiesto di inserire la smart card o collegare il token hardware. Il sistema comunica con il dispositivo per verificare la tua identità.
* alta sicurezza: Le smart card e i token hardware forniscono un alto livello di sicurezza, poiché le chiavi di autenticazione non sono archiviate sul computer stesso.
In sintesi:
* Molto probabilmente: La password di avvio/accensione è memorizzata nel firmware BIOS/UEFI.
* sempre più comune: I TPM stanno diventando sempre più diffusi per la protezione delle chiavi, specialmente in combinazione con la crittografia a discorso completo.
* Sistema operativo controllato: Le soluzioni di crittografia a discorso completo archiviano chiavi (o versioni crittografate delle chiavi) sul disco, spesso con l'aiuto di un TPM.
* La massima sicurezza: I token smart card/hardware archiviano chiavi di autenticazione saldamente al di fuori del computer.
Considerazioni importanti:
* Forza password: Indipendentemente da dove viene archiviata la password, utilizzare una password forte e unica.
* Pratiche di sicurezza: Abilita funzionalità come l'avvio sicuro e il supporto TPM nelle impostazioni BIOS/UEFI, se disponibili.
* Sicurezza fisica: Proteggi la sicurezza fisica del computer per impedire agli aggressori di ottenere l'accesso all'hardware.
* Backup e recupero: Assicurati di avere un piano di backup e recupero nel caso in cui dimentichi la password o il malfunzionamento del sistema. Per le unità crittografate, seguire attentamente le procedure di recupero delineate dal software di crittografia. Perdere la chiave di crittografia equivale a perdere tutti i dati sull'unità.
La posizione specifica e i meccanismi di sicurezza dipendono dalle impostazioni hardware, software e di sicurezza del sistema. Consultare la documentazione del tuo computer o la documentazione per il tuo software di crittografia specifico per ulteriori informazioni.
Domanda © www.354353.com