我正在考慮使用 USB 金鑰而不是密碼來建立 LUKS 加密來解鎖我的硬碟。
然而,有些人告訴我,使用 USB 金鑰進行身份驗證不如密碼安全。我的問題是:它的安全性如何降低?我正在考慮一種場景,我僅在自己的設備上使用所述 USB 密鑰,並且在這種情況下我的 USB 密鑰永遠不會被盜。
我知道我可以更進一步並設定兩因素身份驗證,但這不是我要問的。
答案1
這取決於你的觀點。它更安全,因為金鑰檔案通常是真正隨機的,而密碼往往又短又弱。
然後,密碼短語本身需要大約 5 美元才能破解,無論是使用鍵盤記錄器加密狗還是修改後的 bootloader/initramfs 或臭名昭著的XKCD解密扳手。如果金鑰檔案只是 USB 記憶棒上的文件,則同樣如此,而 HDD 上的 bootloader/initramfs 不受保護。
另一方面,USB 金鑰可以讓任何人存取 - 如果您將其插入電源而不是始終隨身攜帶。任何人都可以快速輕鬆地複製無人看管的 USB 記憶棒...
我兩者都做...一個 USB 密鑰,其中包含引導程式、核心、帶有 LUKS 加密密鑰檔案的 initramfs,需要密碼才能存取。因此,您需要密鑰和密碼才能解鎖。不確定你是否可以將其稱為兩因素身份驗證 - 這是我在保持實用性的同時願意做的事情的極限。 (可啟動 USB 記憶棒也可用於攜帶十幾張 LiveCD)。
無論如何,你的威脅模型是什麼,你有沒有想過?
如果您讓我搬進您的房子,您是否希望我能夠輕鬆存取您的資料?
如果你明天過世,你希望你的親戚能夠解密你的東西嗎?
使用不帶密碼的 USB 密鑰,這是可能的 - 並且對於那些家庭照片來說,只有您擁有...的副本
我有一台在啟動時自行解密的伺服器[使用硬體指紋,如cpu、ram、mac 位址...],根本不需要互動...這裡的威脅模型是有人可能會刪除磁碟機並將其放入另一個驅動器中顧客的盒子,或類似的東西。