Criptazione completa del disco e autenticazione a più fattori

Il problema è che la maggior parte dei metodi di autenticazione multi-fattore sono proprio questo: l'autenticazione. Spesso richiedono un codice per verificare la validità del token o delle informazioni che presenti.

Tuttavia, con la crittografia del disco la tua password è la chiave di crittografia effettiva. Non c'è nessun gatekeeper coinvolto, o la tua chiave non codifica i dati o no.

Ho usato la funzione di password statica di Yubikey con la possibilità di creare una password di 32 caratteri che è carina, ma come hai detto tu non c'è davvero un "what you have" in corso, è solo una password statica che potrebbe essere intercettato e inserito senza il token fisico presente.

Probabilmente potresti trovare un modo per eseguire un'autenticazione a due fattori utilizzando un HSM che esegue un'autentica autenticazione (come richiedere l'inserimento di un PIN) o potresti archiviare un file di chiavi su un dispositivo che fornisce l'autenticazione a due fattori. Ma alla fine tutto ciò che si sta facendo è fornire una password più lunga o un file di chiavi statico.

Non sono d'accordo con le tue premesse qui: direi che due fattori sono due fattori sia che si tratti di risposta statica o di sfida, e non c'è una differenza fondamentale tra i due, solo differenze pratiche che rendono l'una o l'altra una scelta migliore per una particolare implementazione.

Ad esempio, se non si sta eseguendo l'autenticazione sul computer locale, ma su un server remoto tramite il computer, la risposta alla sfida potrebbe rivelarsi un po 'più sicura perché si fa meno sulla macchina locale (che è meno fidato del server.) Ma questo è un problema pratico di implementazione, non qualcosa di fondamentale.

Mi aspetto che la ragione per cui vedi per lo più la staticità con i prodotti FDE sia una decisione aziendale. È un po 'più facile sviluppare un sistema che supporti più tipi di token statici rispetto a uno che supporta più tipi di sfida / risposta, e poiché due fattori è tipicamente posizionato come extra opzionale dai fornitori di FDE, avendo a disposizione più marche di token va bene per le vendite

Microsoft BitLocker supporta lo sblocco di TPM + PIN, grazie al quale una combinazione di una chiave di decrittografia memorizzata nell'hardware (qualcosa che hai) e una password / PIN immessi all'avvio (qualcosa che conosci) vengono usati insieme per decrittografare il volume di avvio.

Quindi la risposta è sì se hai un hardware che include un TPM e una versione di Windows che supporta BitLocker.

Mentre BitLocker ha una capacità di chiave di ripristino che non è multifattoriale, la corretta gestione delle chiavi (rotazione, ad es. tramite Microsoft BitLocker Administration and Monitoring - MBAM) può effettivamente rendere questo punto problematico.