Keamanan Kata Sandi Hard Drive BIOS?

12

Saya memiliki Dell Latitude E6400 dan saya ingin tahu seberapa aman pengaturan BIOS HDD Password? Apakah ini menerapkan beberapa bentuk enkripsi ke konten drive atau hanya beberapa kunci sederhana untuk mengakses drive? Yaitu jika notebook hilang atau dicuri dapatkah data di atasnya diakses oleh seseorang dengan sedikit tahu caranya?

pengguna10762
sumber

Jawaban:

11

Kata sandi BIOS adalah kunci sederhana. Jika Anda tidak memberikan kata sandi, BIOS akan berhenti dan tidak melanjutkan proses booting.

Ada dua cara untuk mengatasi kunci sederhana ini:

  1. Bersihkan memori BIOS / CMOS (biasanya membutuhkan akses motherboard langsung).

  2. Lepaskan drive dan hubungkan ke komputer lain (lebih mudah).


Pembaruan : Seperti jawaban Blackbeagle menyebutkan, ada kata sandi HDD yang ditetapkan sebagai bagian dari spesifikasi ATA. Ini juga merupakan kunci sederhana, tetapi ini diterapkan di drive, sehingga tidak satu pun dari langkah-langkah di atas akan memotongnya. Beberapa pengetahuan teknis (dan mungkin beberapa perangkat keras tambahan) diperlukan. Anda mungkin tertarik pada artikel primer ini tentang kata sandi HDD .


Kunci BIOS adalah penghalang yang layak dalam sejumlah skenario plot film: seseorang dengan pengetahuan teknis terbatas, atau situasi di mana penyerang dapat mengakses komputer tetapi tidak memiliki waktu atau kebebasan yang cukup untuk memisahkannya. Jika Anda hanya berusaha mencegah rekan kerja atau anggota keluarga Anda dari akses, ini berhasil. Namun, ini bukan penghalang signifikan bagi penyerang yang gigih atau seseorang yang memiliki akses fisik tak terbatas.

Kunci level ATA adalah pencegah yang lebih baik, tetapi tidak sempurna. Sekali lagi, penyerang yang gigih, diberikan waktu yang cukup, akan mendapatkan data Anda.

Enkripsi disk penuh tersedia, dan memberikan perlindungan yang lebih baik. Hard disk terenkripsi sendiri yang melakukan ini dalam perangkat keras ada, dan ada banyak pilihan perangkat lunak. Enkripsi data mempersulit penyerang untuk mendapatkan data Anda, tetapi selalu ada cara untuk menyiasati enkripsi. (Khususnya, waspadai Cryptanalysis Pipa Timbal .)

quack quixote
sumber
OK itu masuk akal. Dokumentasi Dell memang menunjukkan bahwa memindahkan drive ke PC lain tidak akan menggunakan kata sandi HDD tetapi tidak ada penyebutan enkripsi. Kedengarannya seperti ini mungkin akan memadai jika sistem itu hilang atau dicuri dan akan mencegah kebanyakan orang mengakses data pada drive tetapi tentu saja bukan keamanan kelas atas.
user10762
2
Kami menggunakan SSD Samsung ini yang menggunakan kata sandi hard drive di BIOS untuk mengenkripsi diri mereka: samsung.com/au/consumer/pc-peripherals/solid-state-drive/... Saya sudah mencoba memasukkan drive yang dienkripsi ke komputer lain dan Windows berpikir bahwa disk belum diinisialisasi.
Matthew Lock
8

Dengan hormat, ada kesalahpahaman antara kata sandi BIOS dan kata sandi HDD. Lain antara kata sandi dan enkripsi. Lain antara keamanan HDD dan chip Keamanan pada mobo.

  1. BIOS pwds hanya melindungi proses booting: jika kata sandi tidak diberikan ke BIOS selama power on sequence, maka power on sequence dihentikan. BIOS pwd disimpan di mobo. Pada tahap ini, disk bahkan belum diakses. Kata sandi HDD (nama sebenarnya adalah Keamanan ATA) disediakan hanya oleh drive, dan bukan oleh BIOS. HDD HDD disimpan di drive saja. Namun BIOS perlu meminta pwd kepada pengguna dan meneruskannya ke drive (tidak diperiksa oleh BIOS). HDD kemudian akan memutuskan apakah akan membuka kunci drive. Jika tidak, tidak ada data yang dapat dibaca atau ditulis.

  2. Kata sandi HDD tidak terkait dengan enkripsi disk. Fitur Keamanan ATA hanyalah mekanisme kunci / buka. Data dapat dienkripsi atau tidak oleh sistem, ini transparan untuk pengontrol HDD di atas HDD. Perhatikan bahwa beberapa disk Hitachi Travelstar selalu dienkripsi, tetapi tidak dilindungi (kunci enkripsi tidak dirilis di luar drive, hanya drive yang mengetahuinya). Tujuannya adalah untuk mengacak data, dan memaksanya untuk dibaca oleh chip HDD saja, tetapi ada disediakan untuk semua orang. Perlindungan hanya akan tersedia melalui ATA Security.

  3. Kata sandi dan kredensial secara umum dapat disimpan dalam penyimpanan sederhana (EEPROM kosong) atau dalam penyimpanan cerdas. Bare EEPROM dapat dibaca dan ditulis. Penyimpanan pintar ditawarkan oleh chip pengontrol mikro (mirip dengan kartu MMC) seperti "TPM" yang terkenal (pada standar Grup Komputasi Tepercaya). TPM dapat menyimpan kata sandi, atau kunci crypto dengan aman. Mereka terkait dengan mobo komputer sebelum digunakan, jadi menukar TPM antar komputer tidak berfungsi. Tidak mungkin membacanya. Mereka hanya dapat dibersihkan. Sederhananya Anda memberikan pwd yang ingin Anda konfirmasi, chip mengatakan Ya atau Tidak tetapi Anda tidak bisa menebak pwd mana yang akan mengarah ke Ya. TPM digunakan oleh EFI BIOS baru untuk memastikan proses boot aman, tanda tangan dari perangkat lunak boot dan perangkat keras disimpan di TPM. Haruskah mereka berbeda pada saat boot,

terkunci
sumber
Lalu bagaimana Anda menjelaskan kata sandi HDD dapat dilewati oleh pengaturan BIOS? (Lihat jawaban saya.)
jarno
3

Untuk kata sandi boot BIOS, jawabannya benar- relatif mudah untuk dilewati. Biasanya pendek CMOS ke bawah.

Untuk kunci kata sandi hard drive - Saya percaya bahwa mereka biasanya memiliki chip crypto kecil di papan sirkuit. Ketika Anda mengaktifkannya, spesifikasi ATA kemudian mengirim sinyal kembali ke BIOS yang menghasilkan kontrol lewat ke chip. Kemudian meminta kata sandi. Awalnya ketika Anda mengaturnya, dibutuhkan kata sandi, mengenkripsi, dan menyimpannya di piring drive. Selanjutnya ketika drive di-boot, chip crypto mengambil kendali, menanyakan kata sandi dan memeriksanya terhadap salinan yang disimpan. Jika cocok, chip crypto memungkinkan boot lebih lanjut.

ADA DEKORASI DRIVE. Saya tidak tahu harganya, tapi saya sudah melihatnya. Mereka mencolokkan langsung ke drive dan dapat mendekripsi jenis perlindungan ini. Mungkin saja untuk menukar papan sirkuit, tetapi itu tidak akan berhasil jika pabrikan drive cukup pintar untuk memindahkan chip kripto ke dalam casing bersama piringan.

Blackbeagle
sumber
Saya percaya kata sandi ATA HDD tidak disimpan pada piringan drive, tetapi hanya dalam sebuah chip di papan sistem drive. Tapi ini mungkin tergantung pada pabrikan ...
sleske
"mengirimkan sinyal kembali ke BIOS yang menghasilkan kontrol lewat ke chip" - tidak. Bios atau perangkat lunak pengguna lain (seperti util linux hdparm) membaca kata sandi dan mengirimkannya ke drive.
psusi
0

Kata sandi HDD sepertinya tidak aman. Jika saya mengubah pengaturan BIOS Security> Password Bypass> Reboot Bypass, keluar dari BIOS, boot dan ketika ada permintaan kata sandi, tekan Ctrl-Alt-Del untuk mem-boot ulang, kata sandi tidak akan diminta dan saya dapat membaca drive.

jarno
sumber