La misma contraseña para el cifrado de disco completo, cuenta de usuario, cuenta de administrador

Esas tres contraseñas te protegen de diferentes amenazas. Los más importantes dependerán de su modelo de amenaza.

• La contraseña de no administrador protege sus archivos personales de otros usuarios que no sean administradores
• La contraseña de administrador protege su sistema de ser modificado por otros usuarios que no sean administradores
• Las contraseñas de FDE protegen su sistema de los atacantes con acceso físico

Como lo que el atacante puede obtener de cada uno:

• Si el atacante obtiene la contraseña de no administrador, puede intentar utilizarla para acceder a las cuentas de administrador también. Por lo tanto controlando todo el sistema.

• Si el atacante obtiene la contraseña de administrador, él / él controla todo el sistema (incluidas las cuentas que no son de administrador).

• Si un atacante obtiene acceso físico a su computadora y tiene la contraseña FDE, no importa las contraseñas restantes ya que puede cambiarlas.

IMHO, contraseña de administrador y contraseña de no administrador siempre deben ser diferentes. El riesgo de que un atacante escale los privilegios con la misma contraseña es demasiado alto. Pero tal vez en su modelo de amenazas no sea un riesgo importante, ya que solo tiene una cuenta

Sobre FDE, no es una necesidad para todos los usuarios. Si el acceso físico a su computadora es parte de su modelo de amenaza (como robo, aplicación de la ley o agencias de 3 letras), también debe usar una contraseña completamente diferente para esto. En caso de que esto no sea parte de su modelo de amenaza, no importa qué contraseña utilice

Sobre su suposición de que las contraseñas FDE son más difíciles de obtener de los keyloggers de software, si bien esto es cierto, un atacante que haya podido implementar un keylogger en su sistema puede ser igualmente capaz de obtener la clave de cifrado de la memoria

Idealmente, deberías tener 3 contraseñas diferentes y seguras para las 3 acciones diferentes, y cambiarlas todas de manera regular. El único problema es que probablemente eres un ser humano y no es tan fácil encontrar y recordar diferentes contraseñas seguras, y esas contraseñas no se pueden extraer fácilmente de un administrador de contraseñas.

Así que trataría de hacer un análisis de uso y riesgo. Me gustan mucho los cómics xkcd sobre autorización . Eso explica por qué algunos sistemas Linux vienen sin una contraseña de administrador, pero solo usan sudo, y le piden al usuario su propia contraseña nuevamente para realizar tareas administrativas. El mismo razonamiento está detrás de UAC en el sistema de Windows: no se debe permitir que una tarea no privilegiada escalar silenciosamente los derechos de administrador, y requiere una validación de usuario; pero lo que autentica al usuario es solo su propia contraseña (*).

Debería usar contraseñas diferentes para las cuentas expuestas a amenazas diferentes, o si desea poder cambiar una sin modificar las otras. Por lo general, esto se aplica a las contraseñas de sitios remotos donde, si un sitio se vio comprometido, usted quiere evitar que el problema se extienda a otros sitios. Pero aquí, las 3 contraseñas en realidad protegen lo mismo: tu propia computadora.

Así que mi consejo es elegir una buena contraseña y usarla consistentemente para las 3 cosas. Solo la contraseña de administrador puede ser diferente, ya que puede almacenarse en una bóveda de contraseñas en caso de que la olvide. Las cosas serían diferentes en algunas de esas contraseñas que se compartieron con otro usuario (pensando en FDE aquí), porque entonces el FDE debería ser diferente de la contraseña de los usuarios.

(*) Muchos ataques permiten ejecutar código no deseado en nombre del usuario, pero no le roban su contraseña

Al utilizar la misma contraseña en su Full Disk Encryption, la cuenta de usuario regular y la cuenta de usuario de administrador, puede caer en:

"Tu único tan fuerte como tu eslabón más débil" tipo de situación.

Considere que usará su cuenta de usuario regular más a menudo que su cuenta de administrador y será más propenso al compromiso inicial.

Si la cuenta / contraseña de usuario regular se ve comprometida de alguna manera, instantáneamente le otorgó al atacante acceso para descifrar el FDE y acceder a los privilegios de administrador. Dicho esto, una vez que un atacante tiene privilegios de administrador local ... ya no es su dispositivo .

No puedo recomendar solo cambiar 1/3 de estas contraseñas. Haz que todos sean diferentes y fuertes si quieres que tu dispositivo sea menos penetrable.

Al usar la misma contraseña para sus cuentas de no administrador y de administrador, esencialmente ha rechazado el propósito de tener la cuenta de no administrador. Ahora es trivial escalar desde un compromiso de la cuenta que no es de administrador a la cuenta de administrador. Si va a utilizar la misma contraseña para ambos, considere no tener una cuenta que no sea de administrador. Al menos de esa manera, será consciente de los riesgos que está asumiendo.

Por supuesto, es menos trivial obtener privilegios de administrador cuando las cuentas están separadas, incluso si las contraseñas son las mismas. Hay algo de valor allí porque un atacante tendría que descubrir que las contraseñas son las mismas. Esto es esencialmente seguridad a través de la oscuridad, que es una mala práctica.

La contraseña de FDE lo protege contra alguien que roba su dispositivo o disco duro. Un atacante que ha hackeado a su usuario sin privilegios, la mayoría de las veces, no será el mismo atacante que está robando su dispositivo físico. Sin embargo, esto no es cierto para los agentes del orden público o gubernamentales. Dependiendo de su modelo de amenaza, la reutilización de contraseñas para FDE y las cuentas de usuario se vuelve más o menos grave. Sin embargo, casi siempre es una mala práctica.