其實硬碟加密不算是新功能,但看到 reddit 上面有人討論抱怨預設加密這件事
表示 Windows11 24H2 也就是即將上市的最新版,打算預設啟用硬碟加密,並且與使用者的微軟帳號綁定(避免大家忘記備份 key 啊)
先說我是加密擁護者,備份硬碟加密這件事情非常重要,
如果你不希望電腦離開你身邊或是失竊被人偷看裡面的資料,這基本上都是必備的。
如果你的會擔心手機遭竊個人隱私所以會上密碼,那你的電腦為什麼硬碟不加密?
打開 Settings > Privacy & security › Device encryption
將 Device encryption 打勾,打勾後需要等一陣子
根據微軟的文件 "Device Encryption" 是透過 BitLocker,但就使用者體驗上是有差別的,這次 Windows 11 把裝置加密下放到所有版本,以往 Home 版本的使用者是無法使用 BitLocker 加密的。
而最大的不同之處在於 Recovery Key 是儲存在微軟帳號,所以要啟用 "Device encryption" 預設也要求要有 TPM 與登入微軟帳號,這樣才能同步這個 Key 到微軟雲端。
對於普通使用者來說這是福音,因為大部分的人只會記得帳號,但不會去備份那個 recovery key,所以減少大家電腦壞掉無法解開硬碟的資料的問題。
但對於隱私至上的人就是個缺點了,可能有些人不相信雲端,這時候就要手動去啟用 BitLocker 走傳統加密的管道,但不管如何 "BitLocker" 與 "Device encryption" 都是相同的加密技術。
如果你不是一開始就用微軟帳號登入,而是後來啟用的,可以進入 BitLocker 的設定中找到 "Backup recovery key",這時候就可以選擇你要備份到雲端或是儲存 or 列印備份。
個人會建議儲存和列印備份都各做一份,這是最安全的狀況,然後列印記得放在一個安全的地方,也要避免紙被吃掉或是淹水。
加密有好有壞,有人說影響磁碟讀寫速度,我想以前現在硬碟效能來說,速度真的影響不大,除非電腦很老舊。
速度效能派不加密的理由我覺得可以淘汰
我想不加密主要為兩個理由
維修時不方便
經常遺失 Recovery Key
這邊就不探討遺失 Recovery Key ,畢竟備份這件事又可以讓我寫一整篇呢!
維修不方便這件事我想大部分的 IT 人員有所經驗,當遇到驅動出問題、電腦 BSoD (或稱為藍屏),這時候要進入所謂的安全模式的時候,由於 C 槽是加密的,這時候必須手動輸入 Recovery Key,而這長度足足有 56 位之長。
如果你有好幾台電腦,儲存、歸檔這些 Recovery Key 是一項挑戰,甚至是當多台電腦同時需要維修,你要花多少時間在輸入這些 Key。
所以許多管理人員乾脆就不加密磁碟了。
而這件事在今年 2024 年的時候就發生過類似的事情,世界上許多 IT 管理人員遇到這項挑戰,也就是 CrowdStrike 大當機事件,因為 BSoD 許多 IT 人員需要進入安全模式移除驅動,這時候就遇到要輸入 BitLocker 的 Recovery Key,有些企業甚至平常沒有演練過這種情況,花了很久的時間去處理,像是我要訂機票,機票網站硬生生停止了兩天不能訂票。
當然有趣的是,有人就想到透過條碼掃瞄機,把這些有管理的 bar code 列印出來,當這些條碼掃瞄機接上電腦就變成鍵盤,等於可以快速輸入這些 Recovery Key,是一個超酷的做法。
https://www.theregister.com/2024/07/25/crowdstrike_remediation_with_barcode_scanner/
如果你是一個數位工作者、會用電腦處理私人事情的,如果你不能承受你電腦裡面的資料被散播、竊取的話,那還是加密吧。
什麼人不需要加密?如果你跟我長輩一樣,什麼都不電子化,沒有任何數位需求,也沒用 LINE, Facebook,什麼都沒有,唯一用電腦就查資料,也根本不在乎瀏覽紀錄被看到,那還真的不需要加密。