web-dev-qa-db-ja.com

BIOS / EFIパスワードの用途は何ですか?

私はかなりパスワードに夢中になる個人になりました。 HDD、ファイル、さらには所有しているさまざまなシステムのBIOS/EFIをパスワードで保護しています。

しかし、BIOSパスワードを忘れた場合は それは簡単です(十分です) マシンの内部への物理的アクセスを介して単にリセット/無効化すること、または場合によってはEFIのようなモダンAppleハードウェア、 Appleはそれをオーバーライドすることもできます 物理ハードウェアレベルでリセットする必要さえなく、必要に応じてコードをオーバーライドする「マスターキー」を介して(これはかなり厄介です)。

では、これを念頭に置いて、BIOS/EFIパスワードはどのように使用するのでしょうか。

どの脅威モデルが効果的であり、追加の対策(ラップトップを安全な場所に保管するか、デスクトップケースをキー/南京錠/コンビネーションロックでロックするなどの堅牢な「侵入検知」通知またはログシステム)を推奨します。コンピュータを再起動するたびに、この追加のパスワードはより価値がありますか?

それは家の正面玄関の鍵のようなものでしょうか。家のすぐ隣にあるガラスの窓がとにかく侵入したい強盗に押しつぶされても、その場所は変わりません。

10
connor

BIOS/EFIパスワードは、セキュリティによる覆い隠しのため、有効と見なすことができます。攻撃者は this などのキーボードと電源ボタンのアクセスのみで、またはPCの内部への物理的なアクセスを介して、BIOSパスワードを簡単に上書きできます。

では、それはどのような用途ですか?まあ、それはあなたに安全を感じさせますが、それを回避する方法を知らない人々を本当に抑止するだけです、しかしあなたが本当に必要なのはキージェネレーターです そしてそれはオープンソースでさえあります 。つまり、オープンソースのキージェネレーターを備えた組み込みのバックドアは、おそらく安全ではありません。それがまだ存在しているというのは常識ではないからです。

つまり、家の正面玄関の鍵ほどの抑止力ではなく、ほとんどのシステムでバイパスするのにそれほど多くの労力を費やさないため、「犬に注意」という看板の方が多いかもしれません。看板、かわいいプードルの考えは、侵入しようとする努力に行く人を阻止しません。

すでにハードドライブとファイルを暗号化している場合、それは合理的に取得できる程度に安全です。 BIOSパスワードを簡単に迂回する方法がなかったとしても、物理的なアクセスがあった場合、攻撃者はハードドライブを簡単に交換してデータにアクセスすることができます。

4
Cyrus Roshan

ソフトウェアは物理的な攻撃から保護することはできません。セキュリティには、階層化されたアプローチが必要です。ほとんどの場合、物理的なロックをかけることができます。より安全なシステムケースは、ケーブル接続を隠し、キーボードやその他の周辺機器の接続の変更を防ぐこともできます。

BIOS /ブートパスワードは、システムの優れたセキュリティ計画の一部にすぎません。フルディスク暗号化に対して 悪魔の攻撃 を使用することも可能ですが、それでも物理的なアクセスと、物理的なアクセスをしたことを隠すのに十分なステルス機能を備えた高度な敵が必要です。

さらに、誰かがパスワードのメカニズムを無効にしても、パスワードを推測したのとは異なります。攻撃者は1回限りのアクセスに関心を持っている可能性がありますが、多くの場合、攻撃者が攻撃されたことを被害者に知られたくありません。ほとんどの場合、BIOSパスワードを削除するとパスワードがクリアされるため、スイッチを切り替えて再びオンにすることはできません。被害者が再度起動しようとすると、被害者は誰かがシステムを危険にさらしたことに気づき、その結果、攻撃者による将来のアクセスをより困難にする対策が行われる可能性があります。

(正面玄関の例のように)ガラスを粉砕すると、元に戻すことができず、混乱し、ノイズが多くなります。これが問題にならない場合もあります。ただし、暗号化/パスワードは ゴムホース攻撃 に失敗することが多いにもかかわらず、一般的には依然として有用です。

2
Eric G

ファームウェアでのパスワードの別の使用法:UEFIにはネットワークスタックがあり、PXEを行うために認証(CHAP?)を使用する場合があります。 IPSecも利用できます。したがって、UEFIの一部のネットワーク使用にはログイン/パスワードが必要になります。 UEFIにはユーザー識別ドライバーモデルがあり、UEFI 2.5にはスマートカードドライバーモデルも追加されています。 HTH、リー http://firmwaresecurity.com/feed

1
Lee Fisher