Truy cập vật lý không thể được bảo vệ hoàn toàn. Một người có đủ động lực sẽ thiết kế ngược hệ thống để có quyền truy cập, cho đến việc tháo rời nó và đọc phần cứng.
Làm cho nhiệm vụ của kẻ tấn công trở nên khó khăn hơn bằng cách thay thế mật khẩu bằng xác thực mạnh hơn nếu có thể.
SSH có thể được định cấu hình để xóa xác thực mật khẩu, cả triển khai OpenSSH và dropbear đều cho phép điều này.
Xem lại những thông tin đăng nhập nào có thể thực hiện được cục bộ, không phải qua mạng. Đầu ra video bằng USB có thể cho phép đăng nhập vào tty. Hoặc, phần cứng có thể cung cấp bảng điều khiển nối tiếp.
Trên hộp Linux có thư viện PAM, xác thực có thể tùy chỉnh thông qua các mô-đun có thể được kết hợp theo nhiều cách khác nhau.
Cho phép đăng nhập hoặc sudo U2F với các trình xác thực phần cứng như Yubikey (pam_u2f)
Cho phép mật khẩu một lần từ thiết bị (pam_google_authenticator hoặc pam_oath)
Xác thực dựa trên ssh-agent (pam_ssh_agent_auth)
Xóa mật khẩu là đủ để xác thực
Cấm đăng nhập root, chỉ cho phép root vào cổng nối tiếp khó truy cập vật lý (pam_securetty)
Nếu bạn phải có mật khẩu, hãy thực thi độ dài dài như 16 ký tự (pam_pwquality) và khuyến khích sử dụng các cụm từ như với Diceware. Không sử dụng các yêu cầu "phức tạp", những yêu cầu này không thân thiện với người dùng.
Đó là phần giới thiệu về xác thực hệ điều hành, còn phần trước thì sao? Trong quá trình khởi động là một ví dụ mà quyền truy cập vật lý đưa bạn vào.Chỉnh sửa lệnh kernel trong grub có thể giúp bạn có trình bao mà không cần thông tin xác thực. Mặc dù hữu ích để khôi phục thông tin đăng nhập bị mất, nhưng có thể không được mong muốn. Xem xét mật khẩu bảo vệ bộ nạp khởi động.
