許多 UEFI 供應商為本機提供啟動密碼和管理密碼。
對於正常的冷啟動或重置,我希望 UEFI 系統只需選擇正確簽署的開機載入程式並繼續。
我更喜歡擁有一個“眾所周知的”管理員密碼來進入 UEFI不是繼續前進。
然而,在理想的情況下,如果有人獲得了設備的物理控制(並且使用社會工程來獲取 UEFI 管理員訪問的“眾所周知的”密碼),我寧願讓設備變得更加困難。重新調整用途。對於受感染的系統來說,要取得儲存在系統(加密磁碟機)上的資料很有用,這在運算上是具有挑戰性的(但理論上並非不可能:-( )。但是,擁有UEFI 管理員密碼可能會允許「冒名頂替者」載入新配置和簽署的引導程式。
一種想法是使用 RSA SecureID 之類的東西,或者讓 UEFI 輸出必須與另一台伺服器進行檢查的一次性程式碼。
我只見過 UEFI 供應商提供的產品本質上有一個「明文」密碼,用於存取機器上的韌體 IF。有沒有人遇過UEFI韌體供應商超出了正常的「輸入密碼」?