BIOSハードドライブのパスワードセキュリティ？

Dell Latitude E6400を使用していますが、BIOS HDDパスワードの設定がどのくらい安全か知りたいのですが？これはドライブのコンテンツに何らかの暗号化を適用しますか、それともドライブへのアクセスを単純にロックするだけですか？つまり、ノートブックを紛失したり盗まれたりした場合、その方法に関する知識のある誰かがノートブックのデータにアクセスできますか？

BIOSパスワードは単純なロックです。パスワードを指定しない場合、BIOSは単に停止し、起動プロセスを続行しません。

この単純なロックを回避するには2つの方法があります。

1. BIOS / CMOSメモリをクリアします（通常、マザーボードへの直接アクセスが必要です）。

2. ドライブを取り外し、別のコンピューターに接続します（簡単に）。

更新：Blackbeagleの回答が述べているように、ATA仕様の一部として定義されたHDDパスワードがあります。これも単純なロックですが、ドライブに実装されているため、上記のいずれの手順でもバイパスされません。ある程度の技術知識（および場合によっては追加のハードウェア）が必要です。HDDパスワードに関するこの入門記事に興味があるかもしれません。

BIOSのロックは、映画のプロットシナリオをいくつでも実行するのにまともな抑止力です。技術知識が限られているユーザー、または攻撃者がコンピューターにアクセスできるが、それを解体するのに十分な時間や自由がない状況です。同僚や家族がアクセスできないようにするだけの場合、これは機能します。ただし、これは断固とした攻撃者や無制限の物理的アクセス権を持つユーザーにとって重要な抑止力ではありません。

ATAレベルのロックの方が抑止力は優れていますが、完全ではありません。繰り返しますが、十分な時間が与えられれば、断固とした攻撃者がデータを取得します。

フルディスク暗号化が利用可能で、より優れた保護を提供します。 ハードウェアでこれを行う自己暗号化ドライブが存在し、多くのソフトウェアオプションがあります。データの暗号化は、攻撃者がデータを取得することをはるかに困難にしますが、暗号化を回避する方法は常にあります。（特に、リードパイプ暗号解読に注意してください。）

当然のことながら、BIOSパスワードとHDDパスワードの間には誤解があります。パスワードと暗号化の間のもう1つ。HDDセキュリティとモボのセキュリティチップの間にもう1つ。

1. BIOSパスワードはブートプロセスのみを保護します。電源投入シーケンス中にパスワードがBIOSに提供されない場合、電源投入シーケンスは停止します。BIOS pwdはmoboに保存されます。この段階では、ディスクにはアクセスされていません。HDDパスワード（実際の名前はATA Security）はドライブからのみ提供され、BIOSからは提供されません。HDDのパスワードはドライブにのみ保存されます。ただし、BIOSはユーザーにパスワードを要求し、それをドライブに渡す必要があります（BIOSでもチェックされません）。HDDは、ドライブのロックを解除するかどうかを決定します。そうでない場合、データの読み取りまたは書き込みはできません。

2. HDDパスワードはディスクの暗号化とは関係ありません。ATAセキュリティ機能は、単なるロック/ロック解除メカニズムです。データはシステムによって暗号化されている場合とされていない場合があります。これは、HDD搭載のHDDコントローラーに対して透過的です。一部のHitachi Travelstarディスクは常に暗号化されていますが、保護されていません（暗号化キーはドライブの外では解放されず、ドライブのみがそれを認識します）。目標は、データをスクランブルし、HDDチップのみで読み取らせることですが、すべての人に提供されます。保護は、ATAセキュリティによってのみ利用できます。

3. 一般に、パスワードと資格情報は、単純なストレージ（ベアEEPROM）またはスマートストレージに格納できます。ベアEEPROMは読み書きできます。スマートストレージは、有名な "TPM"（Trusted Computing Group標準に準拠）のようなマイクロコントローラーチップ（MMCカードに類似）によって提供されます。TPMは、パスワードまたは暗号キーを安全に保存できます。これらは使用前にコンピューターモボに関連付けられているため、コンピューター間でTPMを交換することはできません。それらを読むことはできません。クリアのみ可能です。単に確認したいパスワードを提供すると言っただけで、チップには「はい」または「いいえ」と表示されていますが、どのパスワードが「はい」につながるかはわかりません。TPMは新しいEFI BIOSによって使用され、起動プロセスが安全であることを確認し、起動ソフトウェアとハ​​ードウェアの署名がTPMに格納されます。起動時に異なる場合は、

BIOSブートパスワードの場合、正解です。バイパスするのは比較的簡単です。通常、CMOSを短絡します。

ハードドライブのパスワードロックの場合-通常、回路基板に小さな暗号チップが付いていると思います。それらを有効にすると、ATA仕様はBIOSに信号を送り返し、制御がチップに渡されます。次に、パスワードを要求します。最初に設定すると、パスワードを取得して暗号化し、ドライブプラッターに保存します。その後、ドライブが起動すると、暗号チップが制御を引き受け、パスワードを照会し、保存されているコピーと照合します。それらが一致する場合、暗号チップはそれ以上の起動を許可します。

ドライブ暗号化解除プログラムがあります。料金はわかりませんが、見たことがあります。それらはドライブに直接接続し、この種の保護を解読できます。回路基板を交換することは可能かもしれませんが、ドライブの製造元がプラッターと一緒にケーシング内の暗号化チップを動かすのに十分賢い場合は、うまくいきません。

HDDパスワードが安全ではないようです。BIOS設定の[セキュリティ]> [パスワードバイパス]> [再起動バイパス]を変更し、BIOSを終了して起動し、パスワードクエリがある場合はCtrl-Alt-Delを押して再起動すると、パスワードの入力を求められず、ドライブを読み取ることができます。