Yönetici şifresinde UEFI çok faktörlü kimlik doğrulaması?


1

Birçok UEFI satıcısı, yerel bir makine için önyükleme ve Yönetici şifreleri sunar.

Normal bir soğuk önyükleme veya sıfırlama için, UEFI sisteminin doğru şekilde imzalanmış önyükleyiciyi seçip ilerlemesini istiyorum.

UEFI’ye girmek için “iyi bilinen” bir yönetici şifresine sahip olmak, tercih ederim DEĞİL ile ileriye gitmek.

Bununla birlikte, ideal durumda, birisi bir cihazın fiziksel kontrolünü ele geçirirse (ve UEFI yönetici erişimi için 'iyi bilinen' şifreyi elde etmek için sosyal mühendislik kullandıysa), ekipmanın daha zor olmasını tercih ederim. yeniden amaçlandığı . Sistemde depolanan verileri (şifreli sürücüler) almak için tehlikeye atılmış bir sistemin yararlı olması, hesaplamalı olarak zor olacaktır (ancak teorik olarak imkansız değildir:) (-). yeni hazırlanmış ve imzalı bir bootloader yükleyin.

Bir fikir, RSA SecurID gibi bir şey kullanmak veya UEFI'nin başka bir sunucuya karşı kontrol edilmesi gereken bir zaman kodunu dağıtmasıdır.

Makinede IF ürün yazılımına erişim için esas olarak bir 'düz metin' şifresi olan UEFI satıcı tekliflerini gördüm. Herhangi biri normal "şifreyi gir" seçeneğinin ötesine geçen bir UEFI üretici yazılımı satıcısıyla karşılaştı mı?


Anlamsız bir fiziksel erişim demektir; pili çekerek bellenimi sıfırlayabilir ve HDD'yi değiştirebilirsiniz. Donanım kullanımını durduramazsınız ancak verilere erişilmesini durduramazsınız
Ramhound

Evet, mesele sadece donanımı yeniden yapılandırmak için 'zorlaştırmaktı' idi. Ürün yazılımı, korumanın çoğunu atlayacak olan JTAG aracılığıyla yeniden başlatılabilir (ve yapılabiliyorsa). Veriler 'bilinen' erişim girişimlerinden güvenli, ancak donanım hala 'kullanılabilir' (HDD dahil). Ayrıca, ikinci faktör kimlik doğrulamasına sahip olmak 'dürüst suçluları' başka bir UEFI anahtarı eklemek ve önyükleme sırasını değiştirmek, hatta UEFI'yı devre dışı bırakmaktan alıkoymasını engeller. Bu durumda fiziksel güvenlik önemlidir, ancak tehlike altında olan bir sistem etrafta birçok 'koklama' yapabilir.
ErnieE

Piyasada 2 faktörlü kimlik doğrulaması kullanan hiçbir UEFI üretici yazılımı yoktur. UEFI spesifikasyonunun bile desteklediğine inanmıyorum.
Ramhound

UEFI 2.4 Spesifikasyonundan 32.1 Bölüm "Bu, çok faktörlü kimlik doğrulama olarak adlandırılır." & Lt; makasla kesme ve gt; "Kullanıcı kimliği yöneticisi, kullanıcının kimliğini belirleme ve kullanıcı hakkında bilgi saklama işlemini yöneten isteğe bağlı UEFI sürücüsüdür." & Lt; makasla kesme ve gt; Teoride CAN aradığım ne üretilir. Zaten var olacağını umuyordum. bağlantı
ErnieE
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.