安全地更改Veracrypt密码

Question

如何有效和安全地更改Veracrypt (主)密码？

基于这里的答案，由于各种原因，使用system --> change password是不安全的。

我不能简单地将设备映像到我的硬盘驱动器上，因为它不使用FDE (我正在迈向完全加密的过程中)；这样做将允许攻击者从硬盘驱动器(而不是将使用复杂密码的设备)获取使用弱密码加密的主密钥。

到目前为止，我想出的最好的解决办法是：

• 使用强的一次性密码在硬盘上创建Veracrypt容器(该密码用于临时存储设备的图像)
• 将设备和存储在临时Veracrypt容器中的图像
• 删除旧的Veracrypt分区(带有弱密码)
• 在顶部创建一个新的Veracrypt分区(带有一个复杂的密码)
• 将文件从图像移动到新的Veracrypt分区

Answer 1

你的解决方案应该足够好，我相信这是目前可能最好的一个不破坏USB闪存驱动器。问题是旧容器可能会因为同样的原因而遗留下来，为什么更改密码是不安全的。也就是磨平。

如果这些残馀部分包含头文件，则攻击者可能能够检索一些未被覆盖的文件。如果你真的很认真的让数据100%的安全，你应该把新的容器放在一个新的闪存棒和正确地销毁旧的容器与弱密码的容器。

或者，正如ThoriumBR所提到的，您可以通过将随机数据写入闪存驱动器(例如，使最大可能的空VeraCrypt卷和选择安全删除)来减少残余物存活的机会。这并不保证数据将被正确销毁，但它增加了一定的机会。然而，重复写入闪存会降低其预期寿命，因此闪存盘更有可能出现故障。

Answer 2

如果使用强密码更改弱密码，则安全性不会降低，而不是首先使用强密码。

弱密码和强密码都解锁您的卷/容器密钥，然后用于卷/容器访问。

钥匙有同样的力量。使用强密码访问它的事实是很好的，并且与以前的弱密码无关。

Answer 3

您可以使用强密码创建另一个容器，将所有文件从弱加密容器复制到新的容器中，并安全地删除旧的容器。

如果您的磁盘是SSD，安全删除将无法工作，因为磨损水平。在这种情况下，您可以创建一个包含0的非常大的文件来填充磁盘，删除它，然后再填充。每次这样做，都会减少恢复原始标头的机会(并缩短设备的寿命)。