对于锁定屏幕和全磁盘加密(Windows 10 BitLocker)，使用相同的密码是不明智的吗？

Question

我想知道哪些攻击可以通过使用不同的密码来防止锁定屏幕和全磁盘加密。目的是阻止人们访问我的数据。我的设置细节如下：

• Windows 10 (最新，新安装)。
• Bitlocker for C:驱动器使用与管理员用户相同的密码。
• 管理员用户使用与FDE相同的密码。

现在，据我所知，加密和锁定屏幕是抵御物理攻击的一种形式。但如果我错了，请纠正我的错误。我目前只考虑物理访问攻击(留下笔记本电脑，盗窃等)。

如果设备被关闭，那么使用相同的密码就不会有额外的风险。你必须先通过FDE，然后才能通过锁屏。锁定屏幕密码哈希也是加密的。如果您可以通过FDE，那么无论如何都可以访问数据(使用类似于delocker+linux的东西)，所以我保护数据的目标已经失败了。

如果设备打开，fde通过(解密)，但锁定它不可能绕过锁定屏幕。在最新版本的Windows 10上，Afaik无法检索纯文本密码，也不能从锁屏幕上检索密码。而且，即使密码不同，“冷引导攻击”在现阶段也是可能的。

如果设备打开，fde通过(解密)并解锁.在这一点上，一切都失去了。

我在安全方面的知识有限，所以我可能遗漏了什么。因为据我所见，这是一种奇怪的情况，使用同样的密码不会产生真正的不良影响。所以我的问题是，我是不是遗漏了什么？

Answer 1

如果您是系统的唯一用户，并且您的密码是字符串，那么是的，使用相同的密码的风险很小。

两个警告。

即使没有FDE，您的系统也使用锁定屏幕密码加密某些数据，例如DPAPI，它被一些密码管理器使用，比如内置到Chrome中的密码管理器。

此外，考虑到FDE密码是一种在每次启动时只需输入一次的密码，而锁屏密码则需要每次锁定屏幕时输入，如果您有良好的干净办公桌卫生，则每次离开办公桌时都应该锁定屏幕，因此您可能每天在午餐、上厕所、快速休息时多次锁定屏幕。根据您对安全性的偏执程度，您有机会对FDE密码使用更强的密码，并在锁定屏幕时使用更容易键入的密码。如果两种密码都使用相同的密码，则必须找到满足这两种要求的密码，从而找到折衷方案。

Answer 2

FDE密码可能比Windows密码强。

Bitlocker似乎是PBKDF(sha256(sha256(UTF16(密码)，而Windows (NTLM)使用未加盐的MD-4。PBKDf比MD4强得多。几乎所有NTLM密码都被破解了。

两个人似乎都没被咸过。

在单个用户系统上使用相同的密码，而您对隐私不太关心，这可能是很好的。

如果你担心有人进入你的系统时，它是关闭的，然后使用一个不同的密码比特储物柜，甚至更长更复杂的密码。

如果您已经登录，并且屏幕保护程序密码是打开的，那么只有NTLM密码才能阻止某人。

不管怎样，鉴证科的人很容易破解NTLM。Bitlocker相当困难，但并非不可能。

总是假设有足够的计算能力的人可以破坏你的加密，如果他们真的想的话。

Answer 3

FDE帐户可能会受到许多攻击，而

密钥不是。

假设攻击者以某种方式在你的盒子上增加了特权。他们可以提取SAM注册表文件并获取您的NTLM密钥，通过一台功能相当强大的机器和一个非常大的单词列表来提供该密钥，并且可以在几分钟内获得您的密码。

“但是等等，”你问，“如果攻击者提升了盒子上的权限，那么就没有必要进行其他类型的攻击了？”在大多数情况下，你是对的，但是在这个位置上，攻击者可能做不到一件事，那就是从冷启动启动机器并解密数据，这在基于物理盗窃的攻击中是一种重要的能力。也许你的攻击者想要的是一个特别大的文件，不能被抓到贩运大量的数据，但需要该文件尽快？那么，拥有一个不同的BitLocker密码会给这次攻击带来巨大的麻烦。