1. BIOS/UEFI (firmware):
* La ubicación más común: Este es el lugar más frecuente que encontrará contraseñas de inicio/encendido. El BIOS (sistema básico de entrada/salida) o su reemplazo moderno, UEFI (interfaz de firmware extensible unificado), es un programa de firmware que se ejecuta cuando enciende por primera vez su computadora. Inicializa el hardware y luego entrega el control al sistema operativo.
* Almacenamiento no volátil: La contraseña (a menudo una versión hash de TI, para seguridad) se almacena en memoria no volátil dentro del chip de firmware de la placa base. Esta memoria conserva su contenido incluso cuando la computadora está apagada. Los tipos comunes de memoria no volátil utilizada incluyen EEPROM (memoria de solo lectura programable eléctricamente borrable) y memoria flash.
* Cómo funciona: Cuando se inicia la computadora, el BIOS/UEFI verifica una contraseña. Si se establece uno, el sistema le pedirá al usuario que lo ingrese * antes * que se carga el sistema operativo. Si se ingresa la contraseña correcta, el proceso de arranque continúa. Si se ingresa una contraseña incorrecta demasiadas veces, el sistema puede bloquear o requerir un código de administrador especial para restablecer la contraseña (si una está configurada).
* Consideraciones de seguridad: Si bien es conveniente, almacenar la contraseña en el BIOS/UEFI no es perfectamente seguro. Hay métodos (aunque a menudo requieren acceso físico a la computadora) para evitar o restablecer una contraseña de BIOS/UEFI, como:
* CMOS RESTACIÓN DE BATERÍA: Eliminar la batería CMOS en la placa base (una pequeña batería en forma de moneda) a menudo restablecerá la configuración del BIOS, incluida la contraseña. Sin embargo, esto también restablece otras configuraciones de BIOS, por lo que no es ideal.
* Configuración de puente: Algunas placas base tienen puentes que, cuando se reconfiguran, pueden forzar un reinicio de BIOS.
* biogs parpadeando: En algunos casos, es posible volver a flashear el chip del BIOS con una nueva imagen de firmware, borrando efectivamente la contraseña anterior. Esta es una técnica más avanzada y conlleva el riesgo de bloquear la placa base si no se hace correctamente.
* Hacking de hardware: Los atacantes sofisticados con equipo especializado a veces pueden acceder directamente y manipular el contenido del chip de firmware.
2. TPM (módulo de plataforma de confianza):
* Seguridad basada en hardware: Un TPM es un chip de seguridad dedicado en la placa base que proporciona características de seguridad basadas en hardware. Se puede utilizar para almacenar de forma segura las claves criptográficas, incluidas las relacionadas con la autenticación.
* BOOT MEDIO: Los TPM a menudo se usan junto con los procesos de "arranque medido" o "arranque seguro". En este caso, el TPM mide el proceso de arranque, tomando hashes criptográficos del cargador de arranque, el núcleo del sistema operativo y otros componentes críticos. Estas mediciones se almacenan en el TPM, y el TPM se puede configurar para liberar solo ciertas claves si el proceso de arranque se considera "confiable" (es decir, las mediciones coinciden con los valores esperados). Esto ayuda a proteger contra malware en el tiempo de arranque.
* bitLocker (Windows) y cifrado similar: Los TPM se usan comúnmente para almacenar las claves para tecnologías de cifrado de disco completo como Microsoft BitLocker. Si bien BitLocker mismo usa una contraseña o PIN, la * clave * para descifrar la unidad a menudo se almacena en el TPM. Esto significa que si el TPM detecta la manipulación con el proceso de arranque, puede negarse a liberar la clave, evitando que la unidad se descifra.
* Seguridad mejorada: El almacenamiento de las claves en un TPM es generalmente más seguro que almacenarlas directamente en el BIOS, ya que el TPM es un chip de seguridad dedicado con características resistentes a la tamper.
3. Soluciones de cifrado de disco completo (FDE) basado en software:
* Nivel del sistema operativo: Las soluciones como Veracrypt, Luks (Linux Unified Key Setup) y FileVault (MACOS) cifre todo el disco duro. La contraseña que ingresa para desbloquear la unidad se utiliza para derivar la clave de descifrado.
* Almacenamiento de teclas: La clave de cifrado en sí (o una parte de la misma) * podría * almacenarse en el disco en una forma encriptada, protegida por su contraseña. Sin embargo, las buenas implementaciones utilizan funciones de derivación de clave (KDF) que hacen que sea computacionalmente difícil derivar la clave de descifrado de la contraseña solo. A menudo, requieren la contraseña * y * algún secreto específico de hardware (como un TPM).
* Modificación del gestor de arranque: Estas soluciones a menudo modifican el gestor de arranque para solicitar la contraseña * antes * que se carga el sistema operativo. Esto permite descifrar todo el disco antes de que comience el sistema operativo.
* Complejidad de contraseña: La seguridad de estas soluciones depende en gran medida de la fuerza de su contraseña. Una contraseña débil hace que sea mucho más fácil para un atacante de la clave bruta y descifrar la unidad.
4. Tarjetas inteligentes/tokens de hardware:
* Seguridad externa: Algunos sistemas admiten autenticación utilizando tarjetas inteligentes o tokens de hardware. Estos dispositivos almacenan las claves de autenticación de forma segura y requieren la posesión física del dispositivo para iniciar sesión.
* Cómo funcionan: Cuando inicie la computadora, se le pedirá que inserte la tarjeta inteligente o conecte el token de hardware. El sistema se comunica con el dispositivo para verificar su identidad.
* Alta seguridad: Las tarjetas inteligentes y los tokens de hardware proporcionan un alto nivel de seguridad, ya que las claves de autenticación no se almacenan en la propia computadora.
En resumen:
* Lo más probable: La contraseña de inicio/encendido se almacena en el firmware BIOS/UEFI.
* cada vez más común: Los TPM se están volviendo más frecuentes para asegurar las claves, especialmente en conjunto con el cifrado de disco completo.
* Sistema operativo controlado: Las llaves de almacenamiento de soluciones de cifrado de disco completo (o versiones cifradas de claves) en el disco, a menudo con la ayuda de un TPM.
* Seguridad más alta: Tarjetas inteligentes/tokens de hardware Tiendas de almacenamiento de la tienda de la tienda de forma segura fuera de la computadora.
Consideraciones importantes:
* Fuerza de contraseña: Independientemente de dónde se almacene la contraseña, use una contraseña fuerte y única.
* Prácticas de seguridad: Habilite funciones como soporte Secure Boot y TPM en su configuración BIOS/UEFI si está disponible.
* Seguridad física: Proteja la seguridad física de su computadora para evitar que los atacantes obtengan acceso al hardware.
* Copia de seguridad y recuperación: Asegúrese de tener un plan de copia de seguridad y recuperación en caso de que olvide su contraseña o su mal funcionamiento del sistema. Para unidades cifradas, siga cuidadosamente los procedimientos de recuperación descritos por su software de cifrado. Perder la clave de cifrado es equivalente a perder todos los datos en la unidad.
La ubicación específica y los mecanismos de seguridad dependen del hardware, el software y la configuración de seguridad del sistema. Consulte la documentación de su computadora o la documentación para su software de cifrado específico para obtener más información.