Apakah layar kunci aman?

10

Saya memiliki drive yang sepenuhnya terenkripsi sehingga saya tahu ketika laptop saya dimatikan bahwa tidak ada yang dapat mengakses data saya tetapi bagaimana dengan ketika layar dikunci dengan kata sandi root saya?

Sering kali tidak praktis untuk mematikan komputer saya setiap kali saya meninggalkan laptop saya tanpa pengawasan dan karena semua data saya dicadangkan dan laptopnya cukup murah, saya tidak terlalu terganggu jika dicuri selama saya tahu data saya aman.

Saya tahu ada hack untuk mem-bypass login atau mereset password root pada drive yang tidak terenkripsi tetapi ini membutuhkan reboot agar tidak menjadi masalah bagi saya karena password crypt diperlukan sebelum kata sandi root dan kata sandi crypt saya kemungkinan jauh lebih kompleks daripada kebanyakan orang. Butuh waktu lama untuk menghafalnya.

Kata sandi root saya aman tetapi kurang aman daripada kata sandi enkripsi karena terlalu tidak praktis untuk mengetik sesuatu terlalu lama setiap kali saya ingin sudo atau membuka kunci layar.

Jika seseorang mencuri laptop saya ketika terkunci tetapi dihidupkan dan kemudian menancapkannya ke sumber daya sehingga baterai tidak mati, apakah akan mudah bagi mereka untuk mendapatkan akses dengan asumsi mereka punya banyak waktu?

Selain mencoba memaksakan kata sandi saya, adakah cara lain untuk masuk ke komputer saya selama masih dinyalakan? Ketika saya memasukkan kata sandi login yang salah, sistem mengatakan "memeriksa" selama beberapa detik meskipun sudah mengetahui kata sandi itu salah tetapi saya dapat melihat ini adalah penundaan untuk mencegah tebakan kasar yang cepat. Saya tidak khawatir tentang serangan kamus karena ini akan memakan waktu bertahun-tahun dengan penundaan itu.

Maaf jika pertanyaan ini telah dijawab tetapi saya tidak dapat menemukan jawaban konklusif.

Saya perlu lari ke toko sekarang untuk beberapa persediaan. Saya ingin membiarkan unduhan saya berjalan dengan layar yang terkunci. Haruskah saya khawatir tentang seorang pencuri mencuri laptop saya saat saya pergi dan membaca riwayat perambanan saya yang memalukan?

edit:

TL; DR

Jika saya membiarkan laptop saya menyala dan layar terkunci, bisakah seseorang mendapatkan akses jika mereka mencuri komputer saya? Drive saya dienkripsi kalau-kalau mereka reboot.

Drok
sumber
1
Dengan waktu yang cukup dan akses fisik ke perangkat keras, orang yang cukup gigih dapat menerobos langkah keamanan apa pun. Tidak ada yang mengatakan bahwa mereka tidak dapat menyewa beberapa ribu exaFLOPS daya rangking dari Google atau seseorang dan memaksa enkripsi Anda dengan kasar.
You'reAGitForNotUsingGit
2
Tidak seperti screensaver gnome lama, layar kunci unity yang baru adalah proses yang tidak dapat dilakukan - saya telah mengujinya. Sekarang, secara default tidak ada fitur larangan. Tetapi jika saya ingat dengan benar, ada cara untuk mengatur kunci pada akun setelah 3 upaya gagal. Itu akan membantu dengan serangan brute force
Sergiy Kolodyazhnyy
Apakah drive terenkripsi Anda benar-benar menyalakan sepeda saat reboot? Milik saya tidak, dan akan mudah untuk me-reboot-nya, mem-boot OS pada stik dan menyalin semua data (yang didekripsi secara transparan). Atau apakah Anda menggunakan enkripsi perangkat lunak? Saya berasumsi Anda menggunakan drive enkripsi diri karena Anda mengatakan "disk Anda sepenuhnya terenkripsi"
Gasp0de

Jawaban:

1

Mereka dapat mencoba untuk memaksa kata sandi Anda, Anda mungkin ingin mengaturnya sehingga akun terkunci setelah terlalu banyak upaya gagal. Anda tidak bertanya bagaimana, tetapi jika Anda tertarik, Anda dapat membaca lebih lanjut di sini http://blog.bodhizazen.com/linux/ubuntu-how-to-faillog/ )

Edit : termasuk langkah-langkah seperti yang diminta

Buka /etc/pam.d/common-authdan tambahkan baris DI ATAS FILE:

auth required pam_tally.so per_user magic_root onerr=fail

Untuk mengatur jumlah upaya yang diizinkan & batas waktu

faillog -m 3 -l 3600

Di mana 3 adalah jumlah upaya yang diizinkan dan 3600 detik (1 jam) adalah berapa lama untuk mengunci akun.

Anda dapat menghilangkan -lbagian dan akun akan dikunci selamanya, namun saya benar-benar tidak akan merekomendasikan hal itu karena hard drive Anda dienkripsi. Itu akan membuat file Anda sangat sulit untuk dipulihkan jika Anda mengunci diri. Jika Anda memilih untuk menghilangkan waktu penguncian, saya setidaknya akan meningkatkan jumlah upaya, karena itu tidak sulit untuk memasukkan kata sandi yang salah sebanyak 3 kali.

Curtis
sumber
Anda masih bisa memberikan langkah-langkah di sini, tautan dan isinya dapat berubah atau lenyap sama sekali dan kemudian jawaban Anda tidak akan lebih dari sekadar komentar dan jalan buntu.
Videonauth
Jawaban ini tidak berfungsi untuk saya di lubuntu 16.04. Ini melakukan pekerjaan: auth required pam_tally2.so file=/var/log/tallylog deny=3 even_deny_root unlock_time=1200. Saya mengambilnya dari jawaban oleh "slm" di unix.stackexchange.com/questions/78182/… . Ini juga menjelaskan dengan sangat baik.
Sruli
1

Ada cara Ya, lihat serangan RAM nitrogen cair . Itu selalu merupakan pertanyaan tentang seberapa aman yang Anda inginkan, tidak terkalahkan. Jika penyerang membutuhkan dewer LN untuk mengalahkan Anda, kemungkinan besar Anda akan melihatnya datang.

Jeremy
sumber