關於ThinkPad密碼(ZT)

cklea發表於2008-01-10
ThinkPad的密碼,一直是一個比較熱門的話題,三天二頭就會有兄弟出來問怎麼清除密碼之類的問題。這幾天更是接二連三有兄弟被密碼方面的問題所困擾,有的還要破費500元去換晶片,等等。有鑑於此,特寫此文,以期給各位小黑使用者一個參考。[@more@]1) 一臺THINKPAD上都有哪些密碼?
R- D4 i( b1 L5 ^3 [ 硬體方面主要有以下這些:BIOS開機密碼,BIOS超級密碼,硬碟使用者密碼,硬碟超級密碼。安全晶片的密碼,以及專用硬體的密碼(如指紋識別硬體等等).
* U) O- A# q' L6 }) i) F
軟體方面,主要有這些:WINDOWS登入密碼,EMAIL帳號的密碼(包括OUTLOOK,OUTLOOK EXPRESS,LOTUS等郵件客戶端的登入密碼和POP3帳號密碼)。 論壇的登入密碼,以及各種專用軟體的登入密碼。) X) G2 h4 m7 |4 Z. I, i; r
本文的討論物件,只限於上面提到的硬體密碼。對於軟體的密碼,不在本文的討論範圍之內。
9 Q$ Q5 o2 r( P( ~& A1 A0 h2) BIOS密碼的作用和關係
% {, k1 I' s9 ^" d9 e7 `$ G
上面提到,一臺ThinkPad的BIOS裡面,包括數個密碼。那麼這幾個密碼分別是做什麼的? 它們之間的關係是怎麼樣? 4 }2 v( D/ I6 b2 q2 F3 D# o
在這裡先不說安全晶片的密碼和指紋硬體的密碼。因為不是每一臺ThinkPad都有這二種硬體。這些特殊的密碼,留到最後我們再來討論一下。$ F/ `) s8 d5 q# x" y$ u: R' W6 a7 F
現在我們有四個密碼,分別是開機密碼(Power on password,以下簡稱POP),超級密碼(Supervisor password,以下簡稱SP),硬碟使用者密碼(HDD User password,以下簡稱HUP),和硬碟超級密碼(HDD Supervisor password,以一簡稱HSP。相應地,這四個密碼的作用與相互關係大概是這樣的:
+ R$ }* ~# {+ q* g POP,如果設定後,則電腦開機時(就是從關機狀態上電,也就是冷啟動),就要輸入這個密碼,才能開機,進入操作系統
1 Y! A; z3 G* t( v( g3 g' }
SP,如果設定後,則BIOS的設定功能受到限制。當需要修改BIOS裡面的一些關鍵設定的時候,就要求輸入這個密碼。這個密碼在進入BIOS時才需要。如果開機時按F1,就會進入BIOS。如果設定了SP,就會在這個時候要求輸入。但在這個時候,如果輸入POP,也可以進入BIOS設定介面,但有些功能會受到限制。
, M% {4 W) B$ p6 s HUP,主要控制對硬碟的存取。也就是說,在HDD上電時,要輸入這個密碼,才能獲得對HDD的存取。
# q, C- u# y$ v; hHSP,主要用於修改HUP。
* i2 h+ I6 D+ i; v9 {$ ^* `4 X
3) 幾個密碼的保密強度的現狀: V( e$ R+ a, C
上述的幾個密碼,雖然都是密碼,但保密的強度很明顯是不同的。根據現在的情況來看,它們的現狀是:* M4 K( p" f W' C" o* {6 q
POP,儲存在BIOS管理的RAM中,也就是一般說的CMOS裡面。(現在電腦用的CMOS,實際上是個由電池供電的SRAM+其它的一些電路,如RTC(實時時鐘)等等)。如果CMOS掉電,則這些內容就會消失了。包括時鐘與日期,也同時消失。8 Y+ T2 V# p" [3 J2 . O
SP,儲存在BIOS的FLASH晶片裡。放電對它沒有影響。當然,它是以加密的形式存放的。所以,好象沒有人可以從FLASH的內容裡面恢復出它,但是可以透過更換一片FLASH BIOS晶片的方式來替換它(換成一個已知的密碼或是換成不加密的狀態)HUP和HSP,都是儲存在硬碟裡面。這個是由ATA規範規定。現在似乎不太清楚具體儲存的物理位置,有說是在硬碟的盤體上,也有說在硬碟裡面的FIRMWARE裡面等等。當然,連放在哪裡都不知道,就更無從說破解之類的了。
; U4 ` s, }/ ?4) 幾個密碼的使用
: s2 L& E( Z: G$ L2 R& ~0 R 由上一節中幾個密碼的保密強度,可以看出它們不同的使用範圍和方式。
9 j+ K+ E9 n$ e# Z$ H
POP,因為放電就可以取消這個密碼,所以,很明顯,這個密碼的保密程度是很有限的。所以,這個主要用於日常一般的防護,也就是,可以防止非授權人員在偶然情況下開啟你的電腦。比如,放在辦公室的電腦,你中午去吃飯的時候留在桌子上了。這個時候,一個POP就足以保護了。當然,這是指一般的辦公室環境,別人不會拿螺絲刀對付你桌面上的電腦。在家裡的話,如果家裡除了你,別人對電腦方面的瞭解,對多隻限於撥號上網瀏覽(大部分情況)。這個就可以了。/ f# L( V; ( i1 P- A
SP,這個密碼不是平時使用的。主要作用是保護你的POP。因為,現在已經可以經由換晶片破解SP,所以它的保密程度是中等。如果你的電腦不會離開你相當長的時候,並且還要完好地回來(簡單地說,如果你的電腦不丟的話),這個密碼可以很好地保護你的電腦不被開機了。- l" a* z$ r$ @2 y, H; Q
HUP和HSP。注意,SP只是保護電腦不被開機,但即使你的電腦開不了機,如果把你的電腦裡面的硬碟取下來,放在別的電腦上,那麼,硬碟裡面的內容還是可以存取的(注意,是可以存取,還可以經由軟體加密的方式,對硬碟上的資料進行保護)! H: Y) d6 `" V$ ?2 h
HSP是保護HUP不被更改。只是在修改密碼時才起作用。上電的時候,輸入HSP,不能進入硬碟的。. I+ B( z3 q! n) P7 a# d s
5)密碼的合理設定和使用
0 _; ^# d' p6 t 從上文的敘述中,想必大家對幾個密碼的情況已經有了基本的瞭解。這裡再小結一下使用的基本原則和注意事項。
5 J, x% 9 a2 [ Y. ]. s 對於普通的筆記本電腦使用者,如一般的的辦公室使用者及家庭使用者,建議設立POP,就是開機密碼了。雖然沒有什麼特別的機密,但電腦裡,特別是筆記本電腦裡,還是有很多的個人隱私的。所以加一個上電密碼就可以阻止無關人員開啟你的電腦。當然,這個還需要與WINDOWS裡面的屏保密碼配合使用,這樣,當你偶爾離開電腦裡,別人也看不到裡面的內容了。而一旦不小心忘了這個開機密碼,也不會有太大的問題,放一下電就可以。
& J$ @% L+ ~) }5 z" ^" u9 o
那麼SP是幹什麼的呢? SP的願意是給電腦的管理員用的。舉例來說,一個單位有很多電腦,每個使用者有他自己的開機密碼,但管理員就有所有電腦的SP,(通常是一樣的)。這樣,當這個使用者的密碼遺失或是特殊原因下這個使用者的密碼不可得,就可以用管理員密碼開啟電腦了。, F O5 K% s' e
對於有更高的保密要求的使用者,就要用到硬碟密碼了。就是HUP和HSP。注意,對硬碟內資料,只有硬碟密碼才能起到保護作用,無論是POP還是SP,保護的是電腦本身而不是你硬碟裡面的資料。也就是說,POP和SP是保護電腦不被非授權人員使用,但硬碟裡面的資料,這二個密碼是沒有任何保護作用的。或者,從另一個角度來看,如果要保護硬碟裡面的資料,只要有HUP就可以了。這一個密碼,就足以對硬碟的資料提供很高的保護了。即使沒有設定POP,開機的時候,還是要輸入HUP才能進入系統的。
) r* p. T6 ^0 }7 R: c 那麼HSP呢? 這個的作用與SP的類似,但是是針對硬碟的。注意,輸入HSP不能存取硬碟裡面的資料。這個密碼只是用於修改HUP。
& {6 v7 J" U) V: q6) 更高的保密要求
+ P z+ ^, a1 k$ {6 n6 d% V& S( O7 A+ a
從上文的敘述中,大家應該已經很清楚這幾個密碼了。到這裡為止,一般使用者的保密要求已經完全可以得到滿足了。因為到目前為止,HUP還沒有公開的解密演算法,所以,從這個意義來說,只要加了HUP,那麼這個硬碟裡面的資料,除了知道密碼的人,就沒有人可以存取了...
2 , E* T3 G! S8 p, K# k. I 但是,這個世界上的保密和解密,永遠是一對共生的兄弟。拿我們的例子來說,HUP是保護硬碟資料的最後一道防線,而且這道防線也很堅固,沒有人可以破。但是,為了使用中的方便,一般使用者都習慣於把這個密碼設成與POP一樣。這樣做有一個好處,就是開機的時候,只要輸入一次密碼就可以了。BIOS自動把這個密碼與HUP比較,如果符合的話,就直接進入了。而POP,已經知道是存放在BIOS管理的RAM中,它的保密強度與HUP就差得遠了。(作者注:所以,這個輸入一次密碼用二次的功能,雖然方便了使用者,但實際上卻降低了系統的安全程度,BIOS廠家應該在下一代的產品,對這一點進行改進。至少提供一個選項).
/ a( c* g4 {+ L" e% X) M% a 說到這裡,插一句話。就是關於BIOS密碼的破解。大家一定在網上看到過,有人可以破解一些型號的密碼,不是換晶片,而是真正的破解。就是把資料讀出來,然後還原出原來的密碼。具體的過程是,它提供一個硬體,你自己操作,讀出一個檔案後,發給那個人。他算出密碼後,再告訴你。當然,這個要收取30$。我們關心的是破解的過程。
% }9 I: E! N# ?0 }; a
在這個例子裡面,它的那個硬體裝置,是接在那個存放密碼的EEPROM上面,然後,在BIOS讀取密碼的過程上,截獲BIOS與EEPROM的通訊過程,裡面就包含了密碼的加密形式(密文)。透過一定的演算法,就可以還原出原來的密碼了(明文)。
/ T, P9 K. y( ]1 [: J 把這二件事情結合起來,我們就看到問題了。HUP與POP一樣,然後POP有可能被還原,然後,硬碟的加密就被破壞了。那麼怎麼解決這個問題? 怎麼保證更高的加密強度?
* K% p8 T& _$ o1 e- D3 e7) 安全晶片
9 Z# g5 ]. C# _0 ]9 g7 h
對於上面提出的問題,答案就是進一步的硬體加密方法。其中一個比較常見的也是現在可以見到的一個,就是IBM的安全晶片(Security chip)。& I5 N. ?( d- z* x7 7 }
安全晶片是個什麼東西? 簡單地說,安全晶片是一個在硬體級別上做了加密處理的密碼計算及儲存晶片。這是有二層意思。第一是密碼計算及儲存。沒有這個晶片的話,密碼的比較是由主處理器完成的。在上面的例子裡,BIOS從EEPROM中讀取密文,還原後與使用者的輸入比較來確定使用者輸入是否正確。在這個過程中,不可避免地要通訊的過程。在這個通訊的過程上,密文會被暴露。那麼,安全晶片呢? 安全晶片裡面包含了一個專門的處理器(CPU)和儲存器(FLASH/EEPROM)。密碼存放在裡面,計算與比較等全部在這個晶片裡面完成。整個過程沒有對外的通訊(指密文和明文都不會在晶片外面出現)。這樣就避免了通訊截獲的破解了。
$ i7 `: _& d W! O2 q& v) f% V 第二層意思是說,這個晶片在製造過程中,在硬體級別上已經作了保護,使得直接從物理上對儲存器的讀取變成不可能或非常困難。這個是指開啟晶片,對裡面的儲存器的物理結構進行直接的讀取而言了。
, P7 D8 ~% G0 n- ~6 D( y
上面提到,可以對通訊進行截獲。事實上,即使避免了通訊被截獲的過程,還是可以把EEPROM直接開啟,用電子顯微鏡對裡面的結構進行觀察而獲取裡面的內容的。安全晶片在這個級別上進行了處理(主要是用金屬層覆蓋了裡面的電路層,使得觀察和溶解都變成困難和不可能).1 t' X! b; l9 G
當然,無論用什麼硬體,最後總要與軟體打交道的。所以,安全晶片要配合專門的軟體(如IBM提供的專門軟體),才能把這個加密與系統結合起來。其實,任何的加密都不是完美的。只是一個強度問題。也就是說,如果一個加密的方法,沒有取巧的方法可以破,而只能用暴力方法來破解。那麼這個方法是成功的。而完成暴力演算法所需要的時間,就是這個演算法的強度了。目前的加密演算法,都是利用一些數論中的基本原理來完成的。按照目前的計算能力,都需要天文數字的時間才能解開,那麼我們就認為這個演算法是安全的。比如,有個XD提到的MD5。下面有人跟貼說他可以解,我真的是很佩服。不知道是不真的。大家也聽說了,前一段時間,DES被破的事情,但不知道有多少人知道,這個破解是用了幾萬臺電腦,花了多少時間得到的一個例子。所以說,對於大部分來說,三重DES演算法還是足夠安全的。' d3 t2 s* e) P# b' Z( J
講到這裡,又要插一個關於加解密的例子。GSM系統的SIM,在幾年前還被認為是完全不可能破解的。因為,在當年,模擬手機分分鐘被(子子)機(有的地方叫"並機"的時候,GSM這個安全性,是以一種很高的姿態進入市場的。但是,沒有幾年過去,現在,複製一個SIM卡,只是幾分鐘到一二個小時的事情。我剛剛前幾天就買了一套系統,也就是一個空白卡和一個讀卡器,共花費199元。在一個小時的時間時,就讀出了我自己的二張卡,並且成功地把這二張卡複製到了那個空白的卡里面。這個時候,我心裡其實是很感慨的。科技的進步和發展,很多時候,超越了我們的想象...所以,在說到我們的安全晶片時也是一樣。只能說"目前"和"現在",對於以後的發展,任何斷言都可能變成笑柄。" w7 Q7 o- [9 n$ Z y
說回到我們的安全晶片,這個已經是很安全了。沒有去研究倒底有多安全? 所以,回到開頭的問題。如果你的電腦有更高的安全要求,那麼用這個安全晶片吧。這是一般使用者,目前可以得到的最高階別的安全保護了。所以,如果你的電腦裡面的資料,具有重要的商業價值或是科研價值等等,就應該考慮使用這個你付錢買來的功能,來保護你的重要資料。
I$ ?3 ~. U8 ^$ p8) 安全晶片的使用簡介
Z8 q4 i" E% R' H2 k& P5 F
使用起來,其實是比較簡單的。先去下載軟體,安裝後,可以提供三個功能。一是對WINDOWS登入的密碼保護。因為,WINDOWS的登入密碼,一般是放在SAM裡面的。這個已經有人可以破了。所以這個WINDOWS的登入密碼是不安全的。也就是說,如果你的系統是由SAM來保密的。
! T$ |, H9 } x4 G# p0 T0 t& ? 那麼,一旦這塊硬碟被別人取得,首先放在另一臺電腦,找到那個SAM檔案,然後,離線解密那個SAM檔案,就得到裡面的使用者名稱和密碼。然後用這塊硬碟開機,就可以登入和隨意存取裡面的檔案了。那麼用了安全晶片以後,這個密碼就被放在了那個安全晶片裡面。開機的時候,由那個專用軟體接管WINDOWS的登入的模組,你輸入的密碼,由安全晶片比較後,返回給那個軟體,再決定是不是讓你登入。
' g4 }' A5 P3 O" X0 L7 a; a3 n+ C
另一件事,就是LOTUS NOTES的登入密碼。過程是一樣的。由硬體來決定是不是讓你登入NOTES。這裡可能有人會問,為什麼只有NOTES? 答案很簡單,因為,1)沒有軟體的配合,只是簡單地傳遞一下資訊,幾下就被從RAM中找到密碼或繞過了。(很多軟體可以系統顯示的****反查到密碼就是這個意思了)。2)NOTES是IBM的產品。這樣,才能在最底層增加對加密硬體的支援,從而達到更高的保密性.
! }+ r) ?6 y; d- Q4 X 第三件事,就是代為儲存一些你指定的密碼。這個意思,就與瀏覽器的COOKIE很象。你告訴它,哪個軟體的哪個輸入視窗,要什麼密碼。它就在適當的視窗出現的時候,替你填寫適當的密碼。當然這個密碼是儲存在那個安全晶片裡面的。
! M/ E, H4 D6 `' l 另外,提一下,系統的安全性,其實也是有一個ISO標準的。而IBM的這塊安全晶片,是目前唯一透過這個標準的硬體(?)。
& g1 r+ K; F0 d1 A1 u
以上關於安全晶片的說法,不是什麼權威性的。只是我自己從IBM的網站看的資料,然後也試了一下,再加上GOOGLE來的一些資料的結果。電腦裡面的加密和解密,其實是一個很前沿的領域。有很多高手在這裡做了很多的研究。我只是從應用的角度,跟大家講一點我自己的體會。. w3 B$ R# y! F
從BIOS密碼,講到IBM的安全晶片,希望透過此文,讓廣大ThinkPad使用者,對於這個與我們息息相關的話題有一些瞭解和認識,從來更好地用好你手中的ThinkPad.(※本文蒐集自:重慶未來科技 重慶IBM筆記本 IBMT61 IBMT60 IBMX61 IBMX60)

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/7196059/viewspace-997046/,如需轉載,請註明出處,否則將追究法律責任。

相關文章