安全or风险:Windows 10 默认自动在云端备份用户的加密密钥
专门报道美国国家安全局NSA机密文件的The Intercept本周刊文指出,微软Windows 10内置的磁盘加密功能虽然可以用来保护用户的资料。
但当用户以微软账号登录Windows 10时该系统就会自动将备份密钥上传至云端,以备不时之需。
The Intercept认为微软的这种做法会让黑客或者是ZF监控有了可乘之机,导致安全风险。
其实不论是评估的Mac OS X还是微软的Windows都带有磁盘加密功能(Bitblocker),但双方不同之处在于苹果用户可以选择是否需要将恢复密钥备份到iCloud云端账号中。
但Windows 10的默认设置却是将恢复密钥备份到用户的OneDrive账户中保存。
标准的磁盘加密机制为端对端的加密,只有用户能够解锁磁盘。而恢复密钥的作用主要是为了防止用户忘记密码,这个时候恢复密钥就可以派上用场了。
The Intercept指出把恢复密钥放在云端等于密钥交给了微软、改变了磁盘加密系统的安全属性,也增加了外人获取密钥的机会,黑客或ZF可能侵入用户的微软账号从而取得密钥。
微软的解释也有道理,微软称如果磁盘被加密、而用户忘记密码且丢失了恢复密钥,那么硬盘里的资料就永远无法读取了。
微软称这项功能是基于客户意见而设计,自动将密钥备份至云端是防范于未然。
不知道微软是已经更改了这一策略还是说这种默认保存密钥至云端的做法还是老早的事儿。
实际上现在的Windows 10(Windows 8那会儿好像也是如此)在启用Bitblock加密时是会询问用户是否保存至Microsoft账户,如下图:
而且由于中国大陆已经屏蔽了OneDrive,所以用户想把密钥保存到OneDrive还是一个问题。
如果你点击了保存到Microsoft账户则OneDrive自动打开,你可以选择OneDrive的位置来进行存储。
但是有一点需要提醒你的是,虽然你把恢复密钥(一个txt文本文件)保存到了OneDrive,但你还是需要注意备份,因为恢复密钥若因为网络问题无法同步至OneDrive(未存储到云端),你又重装了系统忘了密码,那么就歇菜了。