TL; TR
Dipende davvero dall'organizzazione. Cose da considerare:
- Quanto seriamente prendono la sicurezza?
- C'è un sacco di viaggi che comporterebbe un aumento del rischio di compromessi?
- Il computer rubato o la rimozione fisica di un'unità sono a rischio?
Il sovraccarico per metterlo a posto è basso. Per una grande azienda con molti viaggi aziendali vale la pena tenere i dati al sicuro. In questo giorno ed età onestamente non credo che tu possa essere troppo attento. Per guidarli a delineare i rischi che sono coinvolti in dati insicuri su un giorno per giorno, e spiegare le soluzioni sono relativamente non invasivo e semplice da implementare. Questo è il mio $ 0,02.
Dettagli
What exactly does password protecting guard you against? What specific scenarios are you vulnerable to with FDE, but no passwords on critical files? Are you protected if you also use passwords on those criticial files? Are these realistic scenarios?
FDE protegge un intero volume. Se il volume è separato dal volume di avvio, puoi fare in modo che i tuoi file siano protetti su quel volume e il volume sia smontato . Supponendo che vengano utilizzate le buone configurazioni di sicurezza raccomandate. Generalmente una volta montato il volume è accessibile. Se i file lasciano quel volume, allora non sono protetti e se sono sensibili dovrebbero essere crittografati con password.
Se il volume è avviabile, una volta avviato il BIOS e inserita la password corretta, l'intero volume viene decifrato e accessibile *. Ciò significa che gli attacchi attivi contro la tua macchina possono accedere ai tuoi file senza problemi. In questo caso è assolutamente necessario proteggere tutti i file che consideri sensibili.
What configuration details of the laptop affect this decision? For example, password-based vs TPM-based encryption? How relevant are defences like automatic screen locks?
Ci sono molti dettagli di configurazione che possono influenzare FDE. Tutto dipende da quello che stai usando.
La crittografia basata su TPM è buona se sei preoccupato che il tuo disco rigido venga rimosso fisicamente dal tuo computer. Un TPM lega il volume di FDE a un dispositivo specifico. Le chiavi di crittografia sono memorizzate nel TPM e solo nel TPM. Tuttavia questo da solo non è completamente sicuro. Con questa configurazione il computer sarà FDE, ma si avvierà senza alcuna autenticazione con password. Alcune soluzioni offrono la possibilità di configurare una password o una chiave USB fisica insieme al TPM. Ciò fornisce l'autenticazione mantenendo le chiavi di crittografia effettive nell'hardware. Questa è la soluzione migliore in quanto le chiavi contenute nel TPM sono protette e nessun software le ha in memoria. Bitlocker fornisce questa configurazione. Questa risposta contiene un interessante articolo sugli attacchi a freddo all'avvio di soluzioni FDE.
Gli screenlock automatici sono sempre una buona idea. Se qualcuno tenta di bypassare riavviandolo, si imbatteranno nell'FDE. Se qualcuno ha la tua password ... beh qualcosa è andato storto.
What password management processes are users expected to follow? Can the user use the same password for full disk encryption as for critical files? If not - how do you stop them?
La gestione delle password è probabilmente la parte più importante di tutto ciò. È una cattiva pratica usare la stessa password per più di uno scopo. Non credo che questo sia applicato nelle soluzioni software. Non c'è un modo sicuro per far rispettare questo. Se il software sta facendo le cose correttamente con password salate, non c'è modo per il software di dire se una password è utilizzata in più di un'istanza. Questo è veramente all'altezza dell'utente. Non utilizzerei la stessa password per i file sensibili come ho usato per FDE.