BitLocker的【密码】和【恢复密钥】的区别是啥？

BH1PXK

有没有可能密钥就保存在启动区里面。

c2h6o

好像BITLOCK不一定有密码，但一定有那40位的恢复密钥，我记得有TPM的就会存在TPM的存储空间里面。

baopeilili

我只记得40位的密码。。每次开机都要输一次。整个人都PTSD了。后来全公司都不敢关机了。也不休眠。合上盖子也不休眠。。后来好像更新了一次，就不用了。

EraserKing

恢复密钥=大门钥匙
平时大门钥匙是放在信箱（TPM）里面的，用信箱钥匙（密码）去拿大门钥匙也可以开门

litel

48位的恢复密钥是于硬件环境无关的加密密钥

密码是当前硬件软件环境下，可以解密的密码，如果拆盘或者BIOS变动了之类的，系统觉得“不安全”了，密码就会失效，只能用48位的恢复密钥。

yaoiverson

恢复密钥可以在账户信息里查到，如果有登录微软账户的话

skanlife

当前密码写入TPM，硬件环境变化后会失效，这也是导致很多人品牌机默认打开Bitlocker后莫名其妙开不了的原因
恢复秘钥则脱钩，属于类似于手机PUK码一样的东西

ycc1219

密钥就是最后的手段。密码与当前软硬件有关。
指纹锁指纹开不了门就需要用机械钥匙了。

ysc3839

解锁密码和恢复密钥都是第一级的密钥(这不是专有名词，是我自己的说法)，因为真正用于加密算法的密钥(第二级密钥)长度是固定的，随机性也有要求，还要支持修改第一级密钥，所以肯定不是用第一级密钥直接加密，一般是用第一级密钥加密第二级密钥，第二级密钥加密数据。

燕山隐士

ysc3839 发表于 2024-3-4 11:25
解锁密码和恢复密钥都是第一级的密钥(这不是专有名词，是我自己的说法)，因为真正用于加密算法的密钥(第二 ...

我觉得你的理解是正确的，自己设置的密码和系统给的恢复密钥是同级别的，系统给的是属于自己设置的忘记以后一个挽回的手段。自己的忘了，系统给的也忘了，数据直接灰飞烟灭。

soleck

昨晚刚挨，品牌笔记本电脑突然整这一出，还恢复不了，找教程输入manage命令再输入密码才得，然后还要恢复系统才能用，我真是服了。

cctv180

soleck 发表于 2024-3-4 16:37
昨晚刚挨，品牌笔记本电脑突然整这一出，还恢复不了，找教程输入manage命令再输入密码才得，然后还要恢复系 ...

上巨硬账号也找不回么，正常加密会存在账号上面

wjqok

cctv180 发表于 2024-3-4 17:25
上巨硬账号也找不回么，正常加密会存在账号上面

没巨硬账号的怎么搞？因为不喜欢用巨硬账号，所以对这加密抵制，但是现在新电脑新系统莫名其妙就给你锁了

YsHaNg

wjqok 发表于 2024-3-4 10:14
没巨硬账号的怎么搞？因为不喜欢用巨硬账号，所以对这加密抵制，但是现在新电脑新系统莫名其妙就给你锁了 ...

知道抵制ms账号的应该也知道oem默认开启吧

soleck

cctv180 发表于 2024-3-4 17:25
上巨硬账号也找不回么，正常加密会存在账号上面

已经上了啊，华硕的笔记本电脑，肯定正版系统，也是正常的账号。就是输进去不认，挂起系统才得

jim9606

一般一个bitlocker卷会配置多个protector，每种解锁方式一个，可以通过任意一个protector解锁。
例如无PIN的TPM保护的系统盘会有: 数字密码（aka恢复代码）、TPM 两个protector
启用自动解锁和PIN解锁的非系统盘会有：数字密码、外部密钥（自动解锁）、PIN 三个protector
备份至微软账户就是记录一下恢复代码而已，不会创建新的protector
U盘密码（在U盘存一个.BEK）、非系统盘自动解锁、AD网络解锁，各算一个protector
运行 manage-bde -protectors -get <盘符> 查看有效的protector
manage-bde -protectors -add -? 查看可选的解锁方法，例如可以要求TPM+PIN组合验证
顺带一提Linux LUKS也是类似设计。

jim9606

wjqok 发表于 2024-3-4 18:14
没巨硬账号的怎么搞？因为不喜欢用巨硬账号，所以对这加密抵制，但是现在新电脑新系统莫名其妙就给你锁了 ...

manage-bde -protectors -get c:
把恢复代码和卷ID记下来（放手机/抽屉的手账都行，反正别存电脑里）
这种等于自己管理密钥而不是微软代管了。

jim9606

ysc3839 发表于 2024-3-4 11:25
解锁密码和恢复密钥都是第一级的密钥(这不是专有名词，是我自己的说法)，因为真正用于加密算法的密钥(第二 ...

是的
主密钥都不会直接用PIN派生出来，随机性不足也不能支持原地改PIN。
即使是TPM也是如此，这样TPM支持的密码原语就不会影响硬盘可用的加密方法。

https://zhuanlan.zhihu.com/p/29840740

imxl

看了回复更迷糊了，我以前有一块希捷的硬盘，全盘bitlocker加密了，后来换电脑，只拆下了这个硬盘，安在新电脑上，输入密码也能正常打开文件，没有用到恢复密钥（甚至我都没有保存过这个）。当然优盘估计机制不一样，优盘加密了的都是随便哪个电脑都能用密码解开的。

山不是水

举个不太恰当的例子——智能门锁

密码，相当于指纹和数字密码，可以快捷开门
恢复秘钥，相当于钥匙，最后的开锁手段

平常只需要输入密码就可以解锁

说几个常用的问题和技巧

1. Win11自带的Bitlocker加密，到手后要么关闭Bitlocker加密，要么自己添加一个密码，并把秘钥导出和保存到微软账号，秘钥信息保存到笔记软件、网盘或NAS中

2. C盘加密后，再加密其他盘可以设置开机重启自动解密。
我个人不用这个功能，都是手动输密码解锁，用Bitlocker加密本意就是想要他加密功能，比如朋友来玩用下电脑，直接重启就可以给他用了，c盘没有隐私文件和数据，都在D盘Bitlocker加密

3. 移动硬盘，可以设置自动解锁——无需开启C盘加密

4. 别只依靠电脑本身硬件来加密解密，一旦电脑硬件问题，那就G了，一定要自己设密码和导出秘钥

5. 最后的最后，多备份数据，别等盘被锁了发现解不开。。。

cctv180

wjqok 发表于 2024-3-4 18:14
没巨硬账号的怎么搞？因为不喜欢用巨硬账号，所以对这加密抵制，但是现在新电脑新系统莫名其妙就给你锁了 ...

win11强制要上账号，而登陆就会加锁无解的存在，只能自己关了