.png)
Actualmente estoy usando Bitlocker en dos de mis máquinas y todas tienen TPM. Al principio nunca me pedía un método de autenticación previo al arranque porque olvidé editar un GPO que permitía esto.
Ahora lo hice y me permite elegir una de tres opciones: -Ingresar un PIN -Insertar una unidad flash USB -Dejar que Bitlocker desbloquee automáticamente mi unidad
No estaba contento con el hecho de que no podía usar solo números en el PIN, así que habilité el PIN mejorado en GPO, lo que me permite usar caracteres especiales también, pero en realidad, me gustaría usar una contraseña mucho más larga que solo 20 caracteres. .
¿Hay alguna forma de obtener la opción "Ingresar contraseña"? Mi amigo lo tiene y no hemos podido entender por qué no está aquí para mí.
Cualquier ayuda sería muy apreciada.
Gracias.
Respuesta1
Esto es normal. El menú que estás viendo no es para protectores independientes; en realidad, son las opciones que van junto con un protector basado en TPM. Puede elegir entre "Solo TPM", "TPM + PIN" o "TPM + clave de inicio".Documentación
Si desea utilizar una contraseña, deberá quitar el protector TPM y utilizarsolouna contraseña, lo que en realidad podría resultar en un nivel de seguridad más débil ya que los datos ya no están vinculados al hardware. Debería poder utilizar el manage-bde -protectorscomando para hacer esto.
pero realmente, me gustaría usar una contraseña mucho más larga que solo 20 caracteres.
20 debería estar bien. Se permite que TPM+PIN sea más corto porque tiene intentos limitados por hardware, muy parecido a un código de acceso de iPhone.
Las contraseñas de cifrado tienen que ser largas porque una vez que alguien se apodera de su disco por sólo unos minutos, puede simplemente copiarlo y no hay nada que le impida probar una gran cantidad de contraseñas con la copia.
Mientras tanto, el PIN es verificado por el propio TPM: el módulo de hardware no le proporciona simplemente un hash de contraseña; lo único que puede hacer con un PIN es enviarlo al TPM para su verificación y obtendrá un "sí" o un "no" o "demasiados intentos, vuelva a intentarlo en 10 minutos".
Para máquinas con TPM 2.0, la limitación de velocidad estándar configurada por Windowsesta documentadoser:
Windows 10 configura el recuento máximo en 32 y el tiempo de curación en 10 minutos. Esto significa que cada diez minutos continuos de funcionamiento encendido sin un evento que aumente el contador hará que el contador disminuya en 1.
Entonces, después de los intentos gratuitos iniciales, un atacante solo obtendrá 144 intentos por día al adivinar un PIN de TPM, frente a miles de millones por día al descifrar un hash de contraseña.
(En lo que respecta a la resistencia a la manipulación, un TPM barato probablemente no sea completamente a prueba de balas, pero a menos que contenga unos pocos millones de bitcoins, probablemente sea bueno. Y en ese punto es posible que desee considerar si su contraseña es No entraré en un registrador de teclas de hardware...)