.png)
現在、TPM を搭載した 2 台のマシンで Bitlocker を使用していますが、これを有効にする GPO を編集し忘れたため、最初は起動前の認証方法を尋ねられませんでした。
今、私はそれを実行し、3つのオプションのいずれかを選択できるようになりました:-PINを入力する-USBフラッシュドライブを挿入する-Bitlockerが自動的にドライブのロックを解除するようにする
PIN に数字しか使えないのは不満だったので、GPO で拡張 PIN を有効にして特殊文字も使えるようにしましたが、本当は 20 文字よりもずっと長いパスワードを使いたいのです。
代わりに「パスワードを入力」オプションを表示する方法はありますか? 友人はそれを持っているのですが、なぜ私にはそれが表示されないのかわかりません。
どのような助けでも大歓迎です。
ありがとう。
答え1
これは正常です。表示されているメニューはスタンドアロン プロテクター用ではなく、実際には TPM ベースのプロテクターに付属するオプションです。「TPM のみ」、「TPM + PIN」、「TPM + スタートアップ キー」から選択できます。ドキュメンテーション
パスワードを使用する場合は、TPMプロテクターを削除して使用する必要があります。のみパスワードは、データがハードウェアにバインドされなくなるため、実際にはセキュリティ レベルが低下する可能性があります。これを行うには、コマンドを使用できるはずですmanage-bde -protectors。
しかし、実際には、20 文字よりもずっと長いパスワードを使用したいと思います。
20 で十分でしょう。TPM+PIN は iPhone のパスコードのようにハードウェア的に試行回数が制限されているため、より短くてもかまいません。
暗号化パスワードは長くする必要があります。なぜなら、誰かがディスクを数分間入手すると、それを簡単にコピーでき、そのコピーに対して大量のパスワードを試すことを止めるものが何もないからです。
一方、PIN は TPM 自体によって検証されます。ハードウェア モジュールは単にパスワード ハッシュを提供するだけではありません。PIN で実行できる唯一の操作は、検証のために TPM に送信することであり、その結果は「はい」または「いいえ」、あるいは「試行回数が多すぎます。10 分後にもう一度お試しください」のいずれかになります。
TPM 2.0を搭載したマシンの場合、Windowsによって構成された標準のレート制限文書化されているすることが:
Windows 10 では、最大カウントが 32 に設定され、回復時間は 10 分に設定されています。つまり、カウンターが増加するイベントがない状態で電源オン操作が 10 分連続して行われると、カウンターが 1 減少します。
したがって、最初の無料試行の後、攻撃者は TPM PIN を推測する際に 1 日あたり 144 回しか試行できませんが、パスワード ハッシュを解読する場合は 1 日あたり数十億回試行できます。
(改ざん耐性に関しては、安価な TPM はおそらく完全に防弾ではないでしょうが、数百万相当のビットコインを保管しているのでなければ、おそらく大丈夫でしょう。その場合、パスワードがハードウェア キーロガーに入力されていないかどうかを検討したほうがよいでしょう...)