BitLocker 是 Windows 自带的全盘加密功能，很多企业在部署笔记本时会默认开启。它的安全性远高于文件级加密——一旦密码丢失，整个磁盘的数据都不可访问。这篇文章详细梳理了 BitLocker 密码丢失后的所有恢复路径。

BitLocker 的工作原理

在讨论恢复方案之前，有必要先理解 BitLocker 的加密架构。

BitLocker 加密层次：

┌─────────────────────────────────────┐
│ 全卷加密密钥（FVK / Full Volume Key）│ ← 真正加密磁盘数据的密钥
├─────────────────────────────────────┤
│ 保护密钥（保护 FVK 的多种机制）       │
│  ├─ TPM 芯片（硬件级密钥存储）       │
│  ├─ USB 启动密钥                    │
│  ├─ 恢复密钥（48 位数字）            │
│  └─ 用户密码 / PIN                  │
├─────────────────────────────────────┤
│ AES-128 或 AES-256 全盘加密          │ ← 加密整个系统分区
└─────────────────────────────────────┘

关键理解：BitLocker 的真正密钥是 FVK（Full Volume Key）。用户密码、TPM、PIN 码等都是「保护密钥的方式」，它们的作用是保护 FVK 不被未授权访问。

这意味着 BitLocker 的恢复有两种思路：

家里换了路由器之后忘了 WiFi 密码，或者公司前任网管离职了没交接 WiFi 密码——这些场景比想象中更常见。这篇文章从技术角度讲解 WiFi 密码的加密原理和恢复方案，同时也会谈谈 WPA3 带来的安全改进。

WiFi 加密协议演进

WiFi 安全协议时间线：

WEP (1997)      → 已被完全破解，几分钟即可恢复密钥
WPA (2003)      → TKIP 加密，存在已知漏洞
WPA2 (2004)     → AES-CCMP，目前主流，安全性较高
WPA3 (2018)     → SAE 握手，抗离线字典攻击

WPA2 的认证机制：四次握手

WPA2 使用「四次握手」（4-Way Handshake）来验证客户端和路由器是否知道相同的密码：

WPA2 四次握手流程：

    路由器 (AP)                          客户端 (Client)
       │                                      │
       │  ── 1. ANonce (随机数) ──────────→   │
       │                                      │
       │  ←── 2. SNonce + MIC ─────────────   │
       │     (客户端的随机数 + 消息完整性校验)   │
       │                                      │
       │  ── 3. GTK + MIC ────────────────→   │
       │     (组密钥 + 确认)                    │
       │                                      │
       │  ←── 4. 确认 ─────────────────────   │
       │                                      │

关键点：
  - 密码本身不在网络上传输
  - 握手过程使用密码派生的 PMK (Pairwise Master Key) 来生成加密密钥
  - PMK = PBKDF2(密码, SSID, 4096, 256)
  - 攻击者可以捕获握手包，然后离线尝试猜测密码

为什么 WPA2 可以被离线恢复？

WPA2 的安全模型：

PMK = PBKDF2(HMAC-SHA1, 密码, SSID, 4096, 256位)
       ↑                    ↑      ↑
       密码学哈希函数        WiFi名  迭代次数

PMK 是固定的（同一个密码 + 同一个 SSID = 同一个 PMK）
四次握手中的 Nonce 是随机的

攻击者的思路：
  1. 捕获一次完整的四次握手包
  2. 离线计算：对每个候选密码，计算 PMK，然后验证是否能生成正确的 MIC
  3. 如果 MIC 匹配 → 密码正确

这就是为什么只需要捕获一次握手包，就可以无限次地离线尝试密码

第一步：捕获握手包

要恢复 WiFi 密码，首先需要捕获一次完整的四次握手。

作为一名架构师，我习惯用系统思维来分析问题——即使这个「问题」是忘了自己加密文件的密码。加密文件密码恢复本质上是一个算力密集型任务，而算力的获取方式无非两种：本地和云端。这篇文章从架构角度对比两种方案的优劣，帮你做出理性的选择。

密码恢复的算力需求模型

先建立一个定量的认知框架。不同的加密格式，每次密码尝试的计算成本差异巨大：

各格式单次密码尝试的计算成本（从低到高）：

WPA2 握手包:     PBKDF2-SHA1, 4096 迭代     → 约 1,600 FLOPs/次
ZIP (ZipCrypto): RC4-40                       → 约 500 FLOPs/次
RAR3:            AES-128 + SHA1               → 约 5,000 FLOPs/次
Office 2007:     AES-128 + SHA1, 50K 迭代     → 约 20,000 FLOPs/次
RAR5:            AES-256 + SHA256, 可配置迭代  → 约 50,000 FLOPs/次
Office 2013+:    AES-256 + SHA512, 100K 迭代  → 约 100,000 FLOPs/次
BitLocker:       AES-256 + SHA256, 高迭代     → 约 100,000 FLOPs/次

这意味着同一个 GPU，恢复 WPA2 密码的速度是恢复 Office 2013+ 密码的 60 倍以上。