目前,我在兩台都有 TPM 的機器上使用 Bitlocker,起初它永遠不會要求我提供預先啟動身份驗證方法,因為我忘記編輯啟用此功能的 GPO。
現在我這樣做了,它允許我選擇三個選項之一: - 輸入 PIN - 插入 USB 隨身碟 - 讓 Bitlocker 自動解鎖我的驅動器
我對自己不能只在 PIN 碼中使用數字感到不滿意,因此我在 GPO 中啟用了增強型 PIN 碼,也允許我使用特殊字符,但實際上 - 我想使用比 20 個字符長得多的密碼。
有什麼辦法可以代替「輸入密碼」選項嗎?我的朋友有它,但我們無法弄清楚為什麼它不適合我。
任何幫助將非常感激。
謝謝。
答案1
這個是正常的。您看到的選單不適用於獨立的保護器,它實際上是與基於 TPM 的保護器一起使用的選項。您可以選擇「僅 TPM」、「TPM + PIN」或「TPM + 啟動金鑰」。文件
如果您想使用密碼,則需要刪除 TPM 保護程式並使用僅有的密碼,這實際上可能會導致安全性等級較弱,因為資料不再受硬體限制。您應該能夠使用該manage-bde -protectors命令來執行此操作。
但實際上 - 我想使用一個比 20 個字元長得多的密碼。
20應該沒問題。 TPM+PIN 允許更短,因為它具有硬體限制的嘗試,就像 iPhone 密碼一樣。
加密密碼必須很長,因為一旦有人只掌握您的磁碟幾分鐘,他們就可以簡單地複製它,並且沒有什麼可以阻止他們針對副本嘗試大量密碼。
同時,PIN 碼由 TPM 本身進行驗證 - 硬體模組不僅僅為您提供密碼雜湊;它還為您提供密碼雜湊值。您可以使用 PIN 做的唯一事情是將其提交給 TPM 進行驗證,您將得到「是」或「否」或「嘗試次數過多,請在 10 分鐘後重試」。
對於具有 TPM 2.0 的計算機,Windows 配置的標準速率限制已記錄成為:
Windows 10 將最大計數配置為 32,修復時間配置為 10 分鐘。這意味著,在沒有發生增加計數器的事件的情況下,每連續 10 分鐘通電操作就會導致計數器減少 1。
因此,在最初的免費嘗試之後,攻擊者在猜測 TPM PIN 時每天只能嘗試 144 次,而破解密碼雜湊時每天只能嘗試數十億次。
(就防篡改而言,廉價的 TPM 可能不會完全防彈,但除非它持有價值數百萬的比特幣,否則您可能會很好。此時您可能需要考慮您的密碼是否不會進入硬體鍵盤記錄器......)