| De locatie waar een opstartwachtwoord of opstartwachtwoord wordt opgeslagen, is afhankelijk van het specifieke systeem en de implementatie. Hier volgt een overzicht van de veel voorkomende locaties en betrokken technologieën:
1. BIOS/UEFI (firmware):
* De meest voorkomende locatie: Dit is de meest voorkomende plaats waar u opstart-/opstartwachtwoorden vindt. Het BIOS (Basic Input/Output System) of de moderne vervanger ervan, UEFI (Unified Extensible Firmware Interface), is een firmwareprogramma dat wordt uitgevoerd wanneer u uw computer voor het eerst aanzet. Het initialiseert de hardware en draagt vervolgens de controle over aan het besturingssysteem.
* Niet-vluchtige opslag: Het wachtwoord (vaak een gehashte versie ervan, voor de veiligheid) wordt opgeslagen in een niet-vluchtig geheugen op de firmwarechip van het moederbord. Dit geheugen behoudt de inhoud, zelfs als de computer is uitgeschakeld. Veelgebruikte typen niet-vluchtig geheugen zijn onder meer EEPROM (Electrically Erasable Programmable Read-Only Memory) en flash-geheugen.
* Hoe het werkt: Wanneer de computer opstart, controleert het BIOS/UEFI op een wachtwoord. Als er een is ingesteld, zal het systeem de gebruiker vragen deze in te voeren *voordat* het besturingssysteem wordt geladen. Als het juiste wachtwoord wordt ingevoerd, gaat het opstartproces verder. Als er te vaak een onjuist wachtwoord wordt ingevoerd, kan het systeem blokkeren of is er een speciale beheerderscode nodig om het wachtwoord opnieuw in te stellen (indien geconfigureerd).
* Beveiligingsoverwegingen: Hoewel handig, is het opslaan van het wachtwoord in het BIOS/UEFI niet perfect veilig. Er zijn methoden (hoewel deze vaak fysieke toegang tot de computer vereisen) om een BIOS/UEFI-wachtwoord te omzeilen of opnieuw in te stellen, zoals:
* CMOS-batterij opnieuw instellen: Als u de CMOS-batterij op het moederbord (een kleine muntvormige batterij) verwijdert, worden vaak de BIOS-instellingen gereset, inclusief het wachtwoord. Hierdoor worden echter ook andere BIOS-instellingen gereset, dus het is niet ideaal.
* Jumperinstellingen: Sommige moederborden hebben jumpers die, wanneer ze opnieuw worden geconfigureerd, een BIOS-reset kunnen forceren.
* BIOS knippert: In sommige gevallen is het mogelijk om de BIOS-chip opnieuw te flashen met een nieuwe firmware-image, waardoor het oude wachtwoord effectief wordt gewist. Dit is een geavanceerdere techniek en brengt het risico met zich mee dat het moederbord kapot gaat als het niet correct wordt uitgevoerd.
* Hardwarehacking: Geavanceerde aanvallers met gespecialiseerde apparatuur kunnen soms rechtstreeks toegang krijgen tot de inhoud van de firmwarechip en deze manipuleren.
2. TPM (Trusted Platform Module):
* Hardwaregebaseerde beveiliging: Een TPM is een speciale beveiligingschip op het moederbord die op hardware gebaseerde beveiligingsfuncties biedt. Het kan worden gebruikt om cryptografische sleutels veilig op te slaan, inclusief sleutels die verband houden met authenticatie.
* Gemeten opstartsnelheid: TPM's worden vaak gebruikt in combinatie met "gemeten opstart"- of "veilige opstart"-processen. In dit geval meet de TPM het opstartproces, waarbij cryptografische hashes worden gebruikt van de bootloader, de kernel van het besturingssysteem en andere kritieke componenten. Deze metingen worden opgeslagen in de TPM en de TPM kan worden geconfigureerd om alleen bepaalde sleutels vrij te geven als het opstartproces als "vertrouwd" wordt beschouwd (dat wil zeggen, de metingen komen overeen met de verwachte waarden). Dit helpt beschermen tegen malware tijdens het opstarten.
* BitLocker (Windows) en vergelijkbare codering: TPM's worden vaak gebruikt om de sleutels op te slaan voor coderingstechnologieën voor de volledige schijf, zoals Microsoft BitLocker. Hoewel BitLocker zelf een wachtwoord of pincode gebruikt, wordt de *sleutel* om de schijf te decoderen vaak opgeslagen in de TPM. Dit betekent dat als de TPM constateert dat er met het opstartproces is geknoeid, deze kan weigeren de sleutel vrij te geven, waardoor wordt voorkomen dat de schijf wordt gedecodeerd.
* Verbeterde beveiliging: Het opslaan van sleutels in een TPM is over het algemeen veiliger dan het rechtstreeks opslaan in het BIOS, omdat de TPM een speciale beveiligingschip is met manipulatiebestendige functies.
3. Op software gebaseerde oplossingen voor volledige schijfversleuteling (FDE):
* Besturingssysteemniveau: Oplossingen zoals VeraCrypt, LUKS (Linux Unified Key Setup) en FileVault (macOS) coderen de volledige harde schijf. Het wachtwoord dat u invoert om de schijf te ontgrendelen, wordt gebruikt om de decoderingssleutel af te leiden.
* Sleutelopslag: De coderingssleutel zelf (of een deel ervan) *kan* in gecodeerde vorm op de schijf worden opgeslagen, beschermd door uw wachtwoord. Goede implementaties maken echter gebruik van sleutelafleidingsfuncties (KDF's) die het rekenkundig moeilijk maken om de decoderingssleutel alleen uit het wachtwoord af te leiden. Vaak hebben ze zowel het wachtwoord *en* een hardwarespecifiek geheim nodig (zoals een TPM).
* Bootloader-aanpassing: Deze oplossingen passen vaak de bootloader aan om om het wachtwoord te vragen *voordat* het besturingssysteem wordt geladen. Hierdoor kan de hele schijf worden gedecodeerd voordat het besturingssysteem start.
* Wachtwoordcomplexiteit: De veiligheid van deze oplossingen is sterk afhankelijk van de sterkte van uw wachtwoord. Een zwak wachtwoord maakt het voor een aanvaller veel gemakkelijker om de sleutel bruut te forceren en de schijf te decoderen.
4. Smartcards/hardwaretokens:
* Externe beveiliging: Sommige systemen ondersteunen authenticatie met behulp van smartcards of hardwaretokens. Deze apparaten slaan de authenticatiesleutels veilig op en vereisen fysiek bezit van het apparaat om in te loggen.
* Hoe ze werken: Wanneer u de computer opstart, wordt u gevraagd de smartcard te plaatsen of de hardwaretoken aan te sluiten. Het systeem communiceert met het apparaat om uw identiteit te verifiëren.
* Hoge beveiliging: Smartcards en hardwaretokens bieden een hoog beveiligingsniveau, omdat de authenticatiesleutels niet op de computer zelf worden opgeslagen.
Samengevat:
* Waarschijnlijk: Het opstart-/opstartwachtwoord wordt opgeslagen in de BIOS/UEFI-firmware.
* Steeds vaker voorkomend: TPM's worden steeds vaker gebruikt voor het beveiligen van sleutels, vooral in combinatie met versleuteling op volledige schijf.
* Besturingssysteemgestuurd: Encryptieoplossingen op volledige schijf slaan sleutels (of gecodeerde versies van sleutels) op de schijf op, vaak met behulp van een TPM.
* Hoogste beveiliging: Smartcards/hardwaretokens slaan authenticatiesleutels veilig buiten de computer op.
Belangrijke overwegingen:
* Wachtwoordsterkte: Ongeacht waar het wachtwoord is opgeslagen, gebruik een sterk, uniek wachtwoord.
* Beveiligingspraktijken: Schakel functies zoals beveiligd opstarten en TPM-ondersteuning in uw BIOS/UEFI-instellingen in, indien beschikbaar.
* Fysieke beveiliging: Bescherm de fysieke beveiliging van uw computer om te voorkomen dat aanvallers toegang krijgen tot de hardware.
* Back-up en herstel: Zorg ervoor dat u een back-up- en herstelplan heeft voor het geval u uw wachtwoord vergeet of uw systeemstoringen optreden. Voor gecodeerde schijven volgt u zorgvuldig de herstelprocedures die door uw coderingssoftware worden beschreven. Het verliezen van de coderingssleutel komt overeen met het verliezen van alle gegevens op de schijf.
De specifieke locatie en beveiligingsmechanismen zijn afhankelijk van de hardware, software en beveiligingsinstellingen van het systeem. Raadpleeg de documentatie van uw computer of de documentatie van uw specifieke coderingssoftware voor meer informatie. |
