Windows 11, 10, etc - Вадим Стеркин

🔐 BitLocker: o доступе к зашифрованным томам путем взлома пароля учетной записи

Прочитав мой FAQ по автоматическому шифрованию BitLocker, читатель Валерий не нашел ответа на свой вопрос:

Если злоумышленник получит физический доступ и взломает пароль учетной записи, получит ли он доступ к зашифрованным файлам?

Казалось бы, ответ очевиден. По умолчанию все тома расшифровываются при входе в систему. Поэтому для доступа к файлам достаточно знать пароль учетной записи.

Но есть нюанс © И не один!

1️⃣ Взломать пароль аккаунта не так уж просто

Пароль находится на зашифрованном диске. Загрузившись с условного диска Стрельца, вы не сможете воспользоваться утилитами для сброса пароля. Поэтому взламывать пароль на компьютере придется подбором.

2️⃣ Пароля может не быть в системе

Во время установки вы можете войти без пароля с имеющейся учетной записью Microsoft (MSA), либо создать для этого новую на смартфоне. И тогда в системе будет только ПИН-код. Я разбирал в блоге нюансы беспарольного входа в Windows.

3️⃣ Вход с паролем может быть отключен

Причем для аккаунтов Microsoft - это поведение по умолчанию! Во время установки после аутентификации в MSA вы обязаны создать ПИН-код. И дальше активны только способы входа Windows Hello (ПИН, биометрия). А вход с паролем для MSA отключен. Опять же, я рассматривал это в блоге в контексте автоматического входа.

////

Заметьте, что в двух пунктах из трех фигурирует учетная запись Microsoft, которая входит в системные требования клиентских Windows. Учитывая их и стандартное поведение ОС, теперь можно ответить на исходный вопрос.

👉 Если человек пользуется аккаунтом Microsoft и не ослабляет стандартную защиту, нет смысла говорить о взломе пароля. Даже если удастся подобрать пароль, с ним все равно не получится войти.

🔢 Однако можно обсуждать взлом ПИН-кода, в том числе методом подбора. Это тоже непростая задача. И держите в уме, что ПИН-код без MSA - только для удобства.

Хороший и правильный ПИН-код:
🔹 состоит не только из цифр, но также из букв в разном регистре и спецсимволов
🔹 защищен TPM, на основе которого построен механизм противодействия подбору

Наконец, оставлю здесь еще одну полезную ссылку о противостоянии атакам на шифрование: BitLocker countermeasures. Самый эффективный способ защиты - это отдельный сложный ПИН-код перед загрузкой ОС вкупе с TPM. Его можно укрепить, добавив третий предохранитель - ключ на флешке ✌️

www.outsidethebox.ms

FAQ: Нюансы автоматического шифрования BitLocker в Windows

Начиная с версии Windows 11 24H2 в системах, предустановленных изготовителем ПК, или в рамках чистой установки на любой компьютер с TPM во всех изданиях и всех типах учетных записей включается автоматическое шифрование BitLocker. Я постарался предвосхитить…

www.tgoop.com/sterkin_ru/1694

12.8K viewsNov 25 at 06:15

🔐 BitLocker: o доступе к зашифрованным томам путем взлома пароля учетной записи

Прочитав мой FAQ по автоматическому шифрованию BitLocker, читатель Валерий не нашел ответа на свой вопрос:

Если злоумышленник получит физический доступ и взломает пароль учетной записи, получит ли он доступ к зашифрованным файлам?

Казалось бы, ответ очевиден. По умолчанию все тома расшифровываются при входе в систему. Поэтому для доступа к файлам достаточно знать пароль учетной записи.

Но есть нюанс © И не один!

1️⃣ Взломать пароль аккаунта не так уж просто

Пароль находится на зашифрованном диске. Загрузившись с условного диска Стрельца, вы не сможете воспользоваться утилитами для сброса пароля. Поэтому взламывать пароль на компьютере придется подбором.

2️⃣ Пароля может не быть в системе

Во время установки вы можете войти без пароля с имеющейся учетной записью Microsoft (MSA), либо создать для этого новую на смартфоне. И тогда в системе будет только ПИН-код. Я разбирал в блоге нюансы беспарольного входа в Windows.

3️⃣ Вход с паролем может быть отключен

Причем для аккаунтов Microsoft - это поведение по умолчанию! Во время установки после аутентификации в MSA вы обязаны создать ПИН-код. И дальше активны только способы входа Windows Hello (ПИН, биометрия). А вход с паролем для MSA отключен. Опять же, я рассматривал это в блоге в контексте автоматического входа.

////

Заметьте, что в двух пунктах из трех фигурирует учетная запись Microsoft, которая входит в системные требования клиентских Windows. Учитывая их и стандартное поведение ОС, теперь можно ответить на исходный вопрос.

👉 Если человек пользуется аккаунтом Microsoft и не ослабляет стандартную защиту, нет смысла говорить о взломе пароля. Даже если удастся подобрать пароль, с ним все равно не получится войти.

🔢 Однако можно обсуждать взлом ПИН-кода, в том числе методом подбора. Это тоже непростая задача. И держите в уме, что ПИН-код без MSA - только для удобства.

Хороший и правильный ПИН-код:
🔹 состоит не только из цифр, но также из букв в разном регистре и спецсимволов
🔹 защищен TPM, на основе которого построен механизм противодействия подбору

Наконец, оставлю здесь еще одну полезную ссылку о противостоянии атакам на шифрование: BitLocker countermeasures. Самый эффективный способ защиты - это отдельный сложный ПИН-код перед загрузкой ОС вкупе с TPM. Его можно укрепить, добавив третий предохранитель - ключ на флешке ✌️

BY Windows 11, 10, etc - Вадим Стеркин