Muchos proveedores de UEFI ofrecen contraseñas de inicio y de administrador para una máquina local.
Para un arranque en frío normal o un reinicio, me gustaría que el sistema UEFI simplemente elija el gestor de arranque correctamente firmado y continúe.
Tener una contraseña de administrador "conocida" para ingresar a UEFI es algo que preferiríaNOseguir adelante con.
Sin embargo, en el caso ideal, si alguien obtiene el control físico de un dispositivo (y ha utilizado ingeniería social para obtener la contraseña "conocida" para el acceso de administrador UEFI), preferiría hacerlo más difícil para el equipo.reutilizado. Sería un desafío computacional (pero no teóricamente imposible :-() que un sistema comprometido sea útil para adquirir datos almacenados en el sistema (unidades cifradas). Pero es posible que tener la contraseña de administrador UEFI permita a un 'impostor' cargue un gestor de arranque recién aprovisionado y firmado.
Una idea es usar algo como RSA SecureID o hacer que UEFI escupe un código único que debe compararse con otro servidor.
Solo he visto ofertas de proveedores UEFI que tienen esencialmente una contraseña de "texto sin formato" para acceder al firmware IF en la máquina.¿Alguien se ha encontrado con un proveedor de firmware UEFI que ha ido más allá del normal "ingrese la contraseña"?