La contraseña de mi SSD de Samsung no distingue entre mayúsculas y minúsculas, ¿cómo afecta esto a Full Disk Encryption?

11

Tengo un Samsung Evo 850 SSD, el modelo de 500 GB y se supone que se beneficia del cifrado de disco completo (FDE). Una vez que establezca una contraseña de HDD en la BIOS, se supone que el FDE debe activarse.

Sin embargo, me sorprendió descubrir que la contraseña de mi HDD no distingue entre mayúsculas y minúsculas.
Soy consciente de que el cifrado de hardware empleado por el SSD es prácticamente una caja negra y no se puede revisar.
También es bastante obvio que la complejidad de la contraseña se reduce drásticamente debido a esta característica .

¿Es común que FDE basado en unidad use contraseñas que no distinguen entre mayúsculas y minúsculas? ¿Hay alguna razón por la que se debe hacer esto (por ejemplo: compatibilidad con sistemas pre-UEFI)?

    
pregunta Radu Potop 15.10.2015 - 11:55
fuente

4 respuestas

6

Como referencia, si alguien sigue buscando una respuesta.

Resulta que es porque la mayoría de los BIOS utilizarán los scancodes de las teclas que (el BIOS individual) admite para la entrada de contraseñas. El bloqueo de mayúsculas y mayúsculas se ignora en las laptops que he encontrado (Lenovo, HP, Dell; laptops de línea de negocios).

    
respondido por el olditfart 22.02.2018 - 20:11
fuente
6

La fuerza de una solución de cifrado está directamente relacionada con la cantidad de contraseñas posibles. Un ataque de fuerza bruta simplemente prueba todas las contraseñas posibles para que tenga éxito más rápidamente si la cantidad de contraseñas distintas es menor. La falta de sensibilidad de mayúsculas y minúsculas significa que el atacante solo tiene que probar contraseñas en minúsculas ya que 'EJEMPLO', 'eXamplE' y 'ExAmPlE' se verán como la misma contraseña que 'ejemplo'.

El número de intentos requeridos para un ataque de fuerza bruta es aproximadamente la mitad del número total de contraseñas posibles, que se calcula al llevar el número de caracteres distintos a la longitud de la contraseña. Un ejemplo típico de conjunto de caracteres es mayúsculas, minúsculas, dígitos y caracteres especiales, que pueden agregar hasta 96 caracteres distintos. Eliminar mayúsculas disminuiría el número de contraseñas en este ejemplo de 96 a 70, asumiendo que los otros tres tipos están incluidos. Por lo tanto, para una contraseña de 8 caracteres, este cambio debilitaría la fortaleza de la contraseña en un factor de aproximadamente 12.5. [Eso es 96 ^ 8/70 ^ 8.]

En una situación en la que ha disminuido la complejidad de la contraseña, es mucho más importante que use una contraseña larga. Es un punto sutil, pero la complejidad disminuida erosiona el valor de la longitud adicional. Por ejemplo, 96 ^ 9/70 ^ 9 es aproximadamente 17.2, por lo que pasar de contraseñas de 8 caracteres a contraseñas de 9 caracteres es más efectivo si las contraseñas también son más complejas.

    
respondido por el JaimeCastells 21.10.2015 - 16:10
fuente
4

Piense en el concepto general de "seguridad" como protección de datos contra pérdidas. Hay varias formas de pérdida. Hay una pérdida para un tercero malintencionado, pero también existe la pérdida de acceso a los datos, lo que significa que el propietario ya no puede acceder a ellos. Esto sucedería si el usuario obtiene la contraseña incorrecta.

Suponiendo que el cifrado es criptográficamente sólido, Samsung sabe que nadie es capaz de recuperar la contraseña para el usuario; una contraseña olvidada significa una pérdida completa de datos. Al configurar la falta de sensibilidad de mayúsculas y minúsculas, ayudan a prevenir el caso en el que el usuario recuerda algo sobre la contraseña, pero puede que no recuerde todos los detalles específicos.

Como han dicho otros, la fortaleza de la seguridad reside en elegir una contraseña suficientemente larga. Con la falta de sensibilidad a las mayúsculas reduciendo el espacio de búsqueda de fuerza bruta, la persona que configura la contraseña debe aumentar la longitud de la contraseña para compensar.

    
respondido por el John Deters 21.10.2015 - 17:59
fuente
0

Suponiendo que aún puede ingresar una contraseña de mayúsculas y minúsculas, esto no tendrá ningún impacto siempre que siga las mejores prácticas estándar para las contraseñas, garantizando la longitud (por ejemplo, diez caracteres como mínimo) y presuponiendo que está usando una contraseña que no sería encontrado en los archivos de diccionario de contraseña).

¿O está diciendo que una contraseña de mayúsculas y minúsculas se está convirtiendo / almacenando como minúscula, y desea saber cuál es la caída resultante en la entropía?

    
respondido por el TemperedGlass 19.10.2015 - 00:33
fuente

Lea otras preguntas en las etiquetas