Tutti gli schemi di crittografia del disco completo gravi che ho esaminato utilizzano una password statica per l'autenticazione. Ad esempio, TrueCrypt supporta l'autenticazione a due fattori con file di chiavi, ma non per le partizioni di sistema . È possibile utilizzare un Yubikey in modalità statica come secondo fattore con TrueCrypt modalità disco completo. Ma in entrambi i casi il secondo fattore è in realtà solo una parte della password statica che l'utente sceglie di non memorizzare.
La crittografia chiaramente a disco intero richiede l'autenticazione degli utenti prima dell'avvio del sistema operativo, quindi i protocolli interattivi di risposta alle sfide che coinvolgono un host remoto non funzioneranno. Ma non vedo ostacoli insormontabili nell'implementazione di un meccanismo di password monouso sicuro e pre-boot.
Perché il supporto per l'autenticazione a più fattori strong non è più comune negli schemi di dischi completi? Esistono implementazioni praticabili? Le password statiche sono considerate abbastanza buone perché un avversario in grado di sconfiggerle in un contesto di pre-avvio è probabilmente anche in grado di recuperare la chiave di crittografia (non la chiave di autenticazione) dopo qualsiasi forma di autenticazione, indipendentemente da quanti fattori?