BIOS / UEFIハードドライブのパスワードはどのくらい安全ですか？

このパスワードはストレージドライブ自体によって適用されるため、システムファームウェアによって上書きすることはできません。それはそれが信頼されるべきであるという意味ではありません。

ドライブがパスワードを適用する方法はさまざまで、明確な標準はありません（ある場合、ドライブが実際に準拠しているかどうかを確認する簡単な方法はありません）。そのため、ドライブのファームウェアによって強制されるパスワード（背後に暗号化がないため、ファームウェアを交換するだけでデータを開示するのに十分です）か、数日で壊れる可能性のある無防備なセキュリティによる暗号化のいずれかが考えられます。

つまり、これらの自己暗号化ドライブは、暗号化が含まれていないかのように考えてください。強力なもの（MicrosoftとNSA peeking）を気にしない場合はLUKS、TrueCrypt/VeraCryptまたはBitLocker）ですでに暗号化されているデータの上でそれらを使用できますが、次のように使用しないでください。あなたの唯一の保護。

ATAハードドライブのパスワードは、オンオフアクセススイッチにすぎません。これを実装するドライブはデータを暗号化しません。正しいパスワードが入力されるまで、ドライブの電子機器がデータを送信しないというだけです。控えめな価格でこの設定をリセットすることを約束する会社があります（ドライブエレクトロニクスボードを交換することを想定しています）。これらのパスワードをリセットできるソフトウェアがあると思われますが、使用されたことは一度もありません。それらの大ざっぱなサイトからダウンロードしてください。

フルディスク暗号化（SED）は、マザーボード上のTrusted Platform Module（TPM）チップを使用してキーのロックを解除する実際のAES暗号化です。 TPMチップが一般的になる前は、ドライブは事前起動認証（PBA）を使用してキーのロックを解除していました。しかし、泥棒がコンピ​​ューター全体を盗む場合は、TPMチップも持っています。その後、ドライブが盗難にあったマシンに接続されている間にシステムを起動し、ドライブがキーを受け取るまで待ち、ドライブの電源を入れたまま（キーが保持される）にし、SATAデータケーブルを選択したマシンに切り替えます。ディスクの暗号化されていないイメージを取得します。このペーパー、「 自己暗号化ディスクは自己復号化リスクをもたらす 」には、PCI、Firewire、またはThunderboltを介したDMA転送を含む、SEDドライブに対するいくつかの異なる攻撃の詳細があります。そして邪悪なメイドMBR攻撃。

別の既知の問題は、ドライブのファームウェアが改ざんされる可能性があることです（Snowdenリークにより、NSAに [〜＃〜] iratemonk [〜＃〜] と呼ばれる機能があることが明らかになりました）レンダリングSEDの概念全体が無効です。

SEDに投資するかどうかは、認識されている脅威モデルによって異なります。あなたの攻撃者は十分にやる気がありますか？あなたのデータは第三者にとって価値がありますか？または、単にCraigslistでノートパソコンを販売するコーヒーショップの平均的な日和見的な泥棒を恐れていますか？