Isso significa que qualquer pessoa com acesso físico à minha máquina pode redefinir a senha e ler o conteúdo criptografado da minha pasta pessoal?
Não, a criptografia doméstica está vinculada a essa senha, portanto, se eu roubar seu computador e alterar a senha do usuário, não conseguiria facilmente (mais sobre isso mais tarde) descriptografar os dados.
Dito isto, o acesso ao modo de recuperação significa colocar o root no disco e como root posso escrever qualquer script para rodar em segundo plano ... Eu poderia implementar um key-logger ou outro mal-intencionado para descobrir sua senha , ou acessar os dados uma vez descriptografados sem que você saiba.
Você pode desativar o modo de recuperação ou defina uma senha no grub para avisar o usuário se ele quiser algo diferente da opção padrão. É claro que alguém poderia inserir um stick ou DVD USB inicializável e montá-lo externamente, portanto você também deve alterar a ordem de inicialização (e proteger com senha o BIOS) para inicializar somente no primeiro disco rígido.
Isso impede os hackers mais preguiçosos. Se alguém tiver uma chave de fenda com eles, um laptop e um barramento SATA → USB, eles podem simplesmente abrir a unidade e montá-la em seu laptop, alterar sua senha e colocar tudo de volta. Eu acho que eu poderia fazer tudo em menos de cinco minutos. Menos ainda em um laptop, pois suas unidades costumam ser mais acessíveis.
Se você quiser me derrotar, precisará criptografar tudo no momento da instalação . Isso significa uma reinstalação e você precisa inserir sua senha a cada vez.
Mas mesmo assim, como diz o dobey, se eu realmente quiser os dados, clonei o disco como um arquivo de imagem raw (~ 20 minutos) e uso um cluster EC2 para quebrá-lo ( horas, dias, semanas) ... Ou uma chave de US $ 5 e seus dedos (segundos) ...
