为什么设备加密很重要
智能手机和笔记本电脑存储着大量个人数据,电子邮件、照片、密码和财务信息。设备丢失或被盗可能发生在任何人身上,如果未加密的设备落入他人之手,所有存储的数据都可以轻易被访问。
设备加密通过加密静态数据来保护它们,使其在没有正确认证凭据的情况下无法被读取。即使设备被物理盗窃,加密也能防止数据泄露。
加密的工作原理
设备加密通常使用 AES-256(256 位密钥长度的高级加密标准)。这种加密方法在当前的计算能力下被认为实际上不可破解。如需深入了解,数据加密基础相关书籍提供了这些概念的全面介绍。
全盘加密
全盘加密(FDE)对整个存储设备进行加密。操作系统、应用程序和用户数据,一切都受到保护。启动时需要认证,认证成功后整个磁盘被解密。
基于文件的加密
基于文件的加密(FBE)使用不同的密钥加密各个文件。这允许某些功能(如闹钟和来电通知)在设备锁定时仍然工作。FBE 已在 Android 7 及更高版本中采用。
各操作系统的加密功能
Windows BitLocker
BitLocker 是 Windows 专业版及更高版本中提供的全盘加密功能。
- 在配备 TPM(可信平台模块)芯片的设备上可用
- 通过"设置"→"隐私和安全"→"设备加密"启用
- 将恢复密钥存储在 Microsoft 账户中、U 盘上或打印出来保存在安全位置
- 丢失恢复密钥可能导致永久无法访问你的数据
macOS FileVault
FileVault 是 macOS 内置的全盘加密功能。
- 通过"系统设置"→"隐私与安全性"→"FileVault"启用
- 可以选择将恢复密钥存储在 iCloud 账户中或本地记录
- 在搭载 Apple Silicon 的 Mac 上,硬件级加密始终处于活动状态
iOS 加密
iOS 设备在设置密码后会自动启用数据保护(加密)。
- AES-256 加密在硬件级别实现
- Secure Enclave(专用安全处理器)保护加密密钥并防止暴力破解攻击
- 设置 6 位或更多位数的密码或字母数字密码可增强加密强度
- 启用"抹掉数据"选项后,10 次密码输入失败将自动擦除设备
Android 加密
Android 设备加密因版本而异。
- 自 Android 6(Marshmallow)起,全盘加密默认启用
- Android 7(Nougat)及更高版本采用基于文件的加密(FBE),允许某些功能在锁屏状态下工作
- 通过"设置"→"安全"→"加密"检查加密状态
- SD 卡加密可能需要单独配置,确保存储在 SD 卡上的数据也受到保护
将这些措施与智能手机隐私设置结合使用,全面加强移动设备安全。
重要注意事项
设备加密是强大的安全保障,但并非万能。请注意以下几点。
备份恢复密钥
BitLocker 或 FileVault 的恢复密钥是你在无法访问设备时的最后手段。如果丢失恢复密钥,可能永久无法访问自己的数据。将恢复密钥存储在与设备分开的安全位置。管理恢复密钥是密码管理的重要组成部分。
性能影响
在现代设备上,加密对性能的影响可以忽略不计。当前的处理器包含硬件级 AES 指令集,可以高速执行加密和解密。无需担心因加密导致的性能下降。磁盘加密安全指南可以帮助你了解这些优化背后的技术细节。
加密的局限性
加密在设备锁定时能有效保护数据。但当设备解锁时,加密无法防御恶意软件或未授权访问。重要的是将加密与云存储安全和反恶意软件措施结合使用,构建分层防御。
总结
设备加密是防止丢失或被盗设备数据被窃取的最有效防御之一。在你拥有的每台设备上启用加密,安全存储恢复密钥,并将加密与强密码和双因素认证结合使用。访问 IP 确认酱检查你的连接安全性,确保你的整体数字保护状况良好。