O local em que uma senha de inicialização ou senha de energia é armazenada depende do sistema e da implementação específicos. Aqui está um detalhamento dos locais e tecnologias comuns envolvidos:
1. BIOS/UEFI (firmware): *
o local mais comum: Este é o local mais frequente que você encontrará senhas de inicialização/energia. O BIOS (sistema básico de entrada/saída) ou sua substituição moderna, UEFI (interface de firmware extensível unificada), é um programa de firmware que é executado quando você liga o computador pela primeira vez. Ele inicializa o hardware e, em seguida, a mão do controle do sistema operacional.
*
armazenamento não volátil: A senha (geralmente uma versão de hash, para segurança) é armazenada em memória não volátil no chip de firmware da placa-mãe. Essa memória mantém seu conteúdo mesmo quando o computador é desligado. Os tipos comuns de memória não volátil utilizados incluem EEPROM (memória somente leitura programável eletricamente apagável) e memória flash.
*
como funciona: Quando o computador começa, o BIOS/UEFI verifica uma senha. Se for definido, o sistema solicitará ao usuário inseri -lo * antes * do sistema operacional carregar. Se a senha correta for inserida, o processo de inicialização continuará. Se uma senha incorreta for inserida muitas vezes, o sistema poderá travar ou exigir um código de administrador especial para redefinir a senha (se estiver configurada).
*
Considerações de segurança: Embora conveniente, armazenar a senha no BIOS/UEFI não é perfeitamente seguro. Existem métodos (embora eles geralmente exijam acesso físico ao computador) para ignorar ou redefinir uma senha do BIOS/UEFI, como:
*
Redefinição da bateria do CMOS: A remoção da bateria do CMOS na placa-mãe (uma pequena bateria em forma de moeda) geralmente redefine as configurações do BIOS, incluindo a senha. No entanto, isso também redefine outras configurações do BIOS, para que não seja o ideal.
*
Configurações de jumper: Algumas placas -mãe têm saltadores que, quando reconfiguradas, podem forçar uma redefinição de BIOS.
*
BIOS piscando: Em alguns casos, é possível re-flash o chip do BIOS com uma nova imagem de firmware, apagando efetivamente a senha antiga. Esta é uma técnica mais avançada e carrega o risco de bloquear a placa -mãe se não for feito corretamente.
*
hackers de hardware: Os atacantes sofisticados com equipamentos especializados às vezes podem acessar e manipular diretamente o conteúdo do chip de firmware.
2. TPM (módulo de plataforma confiável): * Segurança baseada em hardware: Um TPM é um chip de segurança dedicado na placa-mãe que fornece recursos de segurança baseados em hardware. Pode ser usado para armazenar com segurança as chaves criptográficas, incluindo aquelas relacionadas à autenticação.
*
Boot medido: Os TPMs são frequentemente usados em conjunto com os processos de "inicialização medida" ou "inicialização segura". Nesse caso, o TPM mede o processo de inicialização, tomando hashes criptográficos do carregador de inicialização, kernel do sistema operacional e outros componentes críticos. Essas medidas são armazenadas no TPM, e o TPM pode ser configurado apenas para liberar determinadas chaves se o processo de inicialização for considerado "confiável" (ou seja, as medições correspondem aos valores esperados). Isso ajuda a proteger contra malware em tempo de inicialização.
*
Bitlocker (Windows) e criptografia semelhante: Os TPMs são comumente usados para armazenar as teclas para tecnologias de criptografia de disco completo como o Microsoft Bitlocker. Enquanto o próprio Bitlocker usa uma senha ou pino, a chave * * para descriptografar a unidade é frequentemente armazenada no TPM. Isso significa que, se o TPM detectar adulteração com o processo de inicialização, ele poderá se recusar a liberar a chave, impedindo que a unidade seja descriptografada.
*
Segurança aprimorada: O armazenamento de chaves em um TPM geralmente é mais seguro do que armazená-las diretamente no BIOS, pois o TPM é um chip de segurança dedicado com recursos resistentes a adulterações.
3. Soluções de criptografia de disco completo baseado em software (FDE): *
Nível do sistema operacional: Soluções como Veracrypt, Luks (Linux Unified Key Setup) e FileVault (MacOS) criptografaram todo o disco rígido. A senha inserida para desbloquear a unidade é usada para derivar a chave de descriptografia.
*
armazenamento de chave: A própria chave de criptografia (ou uma parte dela) * pode * ser armazenada no disco em uma forma criptografada, protegida pela sua senha. No entanto, boas implementações usam as principais funções de derivação (KDFs) que dificultam a computação de obter a chave de descriptografia apenas da senha. Freqüentemente, eles exigem a senha * e * algum segredo específico de hardware (como um TPM).
*
Modificação do carregador de inicialização: Essas soluções geralmente modificam o carregador de inicialização para solicitar a senha * antes * do sistema operacional carrega. Isso permite que toda a unidade seja descriptografada antes do início do sistema operacional.
*
Complexidade da senha: A segurança dessas soluções depende muito da força da sua senha. Uma senha fraca facilita muito o invasor de força bruta e descriptografar a unidade.
4. Cartões inteligentes/tokens de hardware: *
Segurança externa: Alguns sistemas suportam autenticação usando cartões inteligentes ou tokens de hardware. Esses dispositivos armazenam as chaves de autenticação com segurança e requerem posse física do dispositivo para fazer login.
*
como eles funcionam: Ao iniciar o computador, você será solicitado a inserir o cartão inteligente ou conectar o token de hardware. O sistema se comunica com o dispositivo para verificar sua identidade.
*
alta segurança: Os cartões inteligentes e os tokens de hardware fornecem um alto nível de segurança, pois as chaves de autenticação não são armazenadas no próprio computador.
em resumo: *
provavelmente: A senha de inicialização/energia é armazenada no firmware BIOS/UEFI.
*
cada vez mais comum: Os TPMs estão se tornando mais prevalentes para proteger as chaves, especialmente em conjunto com a criptografia de disco completo.
*
sistema operacional controlado: As soluções de criptografia de disco completo armazenam as teclas (ou versões criptografadas das teclas) no disco, geralmente com a ajuda de um TPM.
*
maior segurança: Cards de cartões inteligentes/tokens de hardware armazenam chaves de autenticação com segurança fora do computador.
Considerações importantes: *
Força de senha: Independentemente de onde a senha é armazenada, use uma senha forte e exclusiva.
* práticas de segurança: Habilite recursos como Boot Secure e Suporte TPM nas configurações do BIOS/UEFI, se disponíveis.
*
Segurança física: Proteja a segurança física do seu computador para impedir que os invasores obtenham acesso ao hardware.
*
backup e recuperação: Certifique -se de ter um plano de backup e recuperação, caso você esqueça sua senha ou seu mau funcionamento do sistema. Para unidades criptografadas, siga cuidadosamente os procedimentos de recuperação descritos pelo seu software de criptografia. Perder a chave de criptografia é equivalente a perder todos os dados na unidade.
Os mecanismos de localização e segurança específicos dependem das configurações de hardware, software e segurança do sistema. Consulte a documentação do seu computador ou a documentação do seu software de criptografia específico para obter mais informações.