ロック画面は安全ですか?


10

完全に暗号化されたドライブを持っているので、ラップトップがオフになっていると、誰も私のデータにアクセスできないことがわかりますが、ルートパスワードで画面がロックされている場合はどうなりますか?

ラップトップから離れるたびにコンピューターの電源を切るのは現実的ではありません。すべてのデータがバックアップされており、ラップトップはかなり安価なので、データが安全であることがわかっている限り、盗まれてもそれほど心配はいりません。

ログインをバイパスしたり、暗号化されていないドライブのルートパスワードをリセットしたりするハックがあることは知っていますが、これには再起動が必要なので、ルートパスワードと暗号化パスワードの前に暗号化パスワードが必要なので、問題はありません。おそらくほとんどの人よりもはるかに複雑です。覚えるのに長い時間がかかりました。

rootパスワードは安全ですが、sudoを使用するたびに長すぎるものを入力したり、画面のロックを解除したりするのは非現実的であるため、暗号化パスワードより安全ではありません。

ロックされているが電源が入っているときに誰かが私のラップトップを盗んで、電源に接続してバッテリーが切れないようにした場合、十分な時間があれば、簡単にアクセスできますか?

パスワードをブルートフォースにしようとする以外に、コンピューターの電源が入っている限り、コンピューターに侵入する方法は他にありますか?間違ったログインパスワードを入力すると、システムは数秒間「checking」と言いますが、すでに間違ったパスワードを知っていますが、これはブルートフォースによる迅速な推測を防ぐための遅延であることがわかります。辞書の攻撃には何年もかかるので心配ありません。

この質問には回答しましたが、決定的な答えが見つからない場合は、申し訳ありません。

いくつかの消耗品のために、今すぐ店に出かける必要があります。ロックされた画面でダウンロードを実行したままにしたいのですが。私が行って恥ずかしい閲覧履歴を読んでいる間に、強盗がラップトップを盗むのを心配する必要がありますか?

編集:

TL; DR

ラップトップの電源を入れたまま画面をロックすると、誰かが私のコンピューターを盗んだ場合にアクセスできますか?ドライブが再起動する場合に備えて、ドライブは暗号化されています。


1
十分な時間とハードウェアへの物理的なアクセスがあれば、十分に決まった人がセキュリティ対策を打ち破ることができます。グーグルや誰かから数千エクサフロップスの処理能力を借りることができず、暗号化をブルートフォースで実行できないとは何も言われていません。
You'reAGitForNotUsingGit

2
古いgnomeスクリーンセーバーとは異なり、新しいUnityロックスクリーンは不滅のプロセスです-私はそれをテストしました。現在、デフォルトでは禁止機能はありません。しかし、私が正しく思い出せば、3回失敗した後にアカウントにロックを設定する方法があります。それはブルートフォース攻撃に役立つはずです
Sergiy Kolodyazhnyy

暗号化されたドライブは、再起動時に本当にパワーサイクルしますか?鉱山はそうではなく、それを再起動し、スティック上でOSを起動して、すべての(透過的に復号化された)データをコピーすることは簡単に可能です。または、ソフトウェア暗号化を使用していますか?「ディスクは完全に暗号化されている」と言ったので、自己暗号化ドライブを使用していると思いました
Gasp0de

回答:


1

彼らはあなたのパスワードをブルートフォースにしようとする可能性があります。あまりにも多くの試行が失敗した後にアカウントがロックアウトされるようにそれを設定したいかもしれません。あなたはどのように求めていませんでしたが、もし興味があるなら、あなたはもっとここで読むことができますhttp://blog.bodhizazen.com/linux/ubuntu-how-to-faillog/

編集:必要に応じてステップを含める

/etc/pam.d/common-authファイルの上部に次の行を開いて追加します。

auth required pam_tally.so per_user magic_root onerr=fail

許可される試行回数とタイムアウトを設定するには

faillog -m 3 -l 3600

3は許可される試行回数で、3600秒(1時間)はアカウントをロックアウトする時間です。

この-l部分は省略でき、アカウントは永久にロックアウトされますが、ハードドライブは暗号化されているので、お勧めしません。自分自身をロックアウトした場合、ファイルの回復が非常に困難になります。ロックアウト時間を省略することを選択した場合、パスワードを3回間違えて入力することはそれほど難しくないため、少なくとも試行回数を増やします。


ここでも手順を提供できます。リンクとそのコンテンツは完全に変更または消失する可能性があり、その場合の回答は、コメントや行き止まりではありません。
Videonauth 2016年

この答えは、lubuntu 16.04では機能しませんでした。これは機能しました:auth required pam_tally2.so file=/var/log/tallylog deny=3 even_deny_root unlock_time=1200。私はunix.stackexchange.com/questions/78182/…の「slm」による回答からそれを採用しました。それも非常によく説明します。
Sruli 2017

1

なに?はい、液体窒素RAM攻撃を調べます。それは常に、無敵ではなく、どれだけ安全になりたいかという問題です。攻撃者があなたを倒すために手元にLNのdewerが必要な場合、彼が来るのを見るのはかなりありそうです。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.