Como posso garantir que o BitLocker não possa ser ignorado com uma chave de recuperação?

Resposta curta: armazene sua chave de recuperação em um local seguro. Talvez, para você, seja o Google Drive, uma unidade flash que você mantém no seu chaveiro ou em um e-mail que você envia para você mesmo.

O ladrão não pode gerar uma chave de recuperação a menos que esteja conectado ao seu computador. Se eles roubarem a unidade sem primeiro obterem a chave de recuperação ou a senha que o Bitlocker está fazendo, é uma coisa.

O que você está pedindo é 'como posso fazer uma chave que ninguém mais pode usar que me permita entrar se eu esquecer minha senha' e a resposta curta é que você não pode. Se você fizer a chave, dificulte a localização. Se você não fizer a chave, não esqueça sua senha. Eu

t é um compromisso comum em segurança: facilidade de uso < - > força de segurança

Como @Ramhound disse. O uso adicional / secundário da chave de recuperação é se o hardware ao qual a unidade estava conectada foi alterado. Você precisaria disso para acessar os dados naquele ponto.

Per @ user1751825 "Há uma outra situação em que você pode requerer a chave de recuperação. Se você precisar desbloquear sua unidade usando a linha de comando manage-bde utility, acredito que você possa precisar da chave de recuperação."

A chave de recuperação é necessária apenas se você esquecer sua senha, portanto, exigir a senha ao usar a chave de recuperação seria contra-intuitivo. Se você tiver certeza de que nunca esquecerá sua senha, não precisará manter a chave de recuperação. Isso é arriscado. Acho que simplesmente manter a chave de recuperação em um local seguro deve ser suficiente.

Atualizar ... O utilitário de linha de comando manage-bde funciona apenas com a chave de recuperação, não com a senha. É pouco provável que, em uso normal, seja necessário esse utilitário.

Por que não pegar o arquivo de recuperação e criptografá-lo ? Usando outra frase secreta que você definitivamente não esquecerá, é diferente da senha principal "bitlocker" que você está tentando proteger.

Usar PGP / GPG ou LUKS ou mesmo TrueCrypt (ainda) deve ser seguro.

Então seria muito mais seguro enviá-lo para algum armazenamento online, mas se algo danificar seu computador (incêndio, roubo, etc), não há razão real para manter o arquivo de recuperação fora do site (é inútil sem o arquivo dados de bitlocker indisponíveis)

Armazene a chave em sua conta da microsoft. Somente aqueles que têm acesso à sua conta da Microsoft podem obter a chave. Se você não conseguir fazer login no seu computador, use outro computador ou laptop próximo para ir até aqui

link

Here is the instruction straight from microsoft

Places to look for your BitLocker key:

On a printout you saved. Look in places you keep important papers.
Saved on a USB flash drive. Plug the USB flash drive in to your locked PC and follow the instructions. If you saved the key as a text

file on the flash drive, use a different computer to read the text file. In your Microsoft account. To get your recovery key, go to BitLocker Recovery Keys.

Or ask someone for help:

Ask someone with administrator privileges on the same PC to unlock it with their key.
If your PC is connected to a domain (usually a work or school computer), ask a system administrator for your recovery key.

If you still can't get in, you'll need to reset your PC. Learn how.

é semelhante a colocá-lo no Google Drive ou Dropbox, mas eu acho que é muito melhor. No Google Drive você pode esquecer onde você armazena a chave. No Google Drive, este é apenas outro arquivo de texto que pode estar perdido em algum lugar.

Com o microsoft eles não apenas o armazenam no onedrive (que é o dropbox da microsoft btw). Você não verá a chave na sua unidade. A Microsoft tem um lugar especial para armazenar a chave apenas para você. Então não é apenas outro arquivo de texto. É realmente uma característica especial feita pela única empresa que fabrica o sistema bitlocker. É muito mais facilmente encontrado. É mais seguro. Você precisa verificar sua identidade no telefone antes de poder fazer login. E você a usa em texto, não apenas em arquivo de texto.

Além disso, se você tiver várias chaves ou centenas de computadores, a Microsoft nomeará o computador onde cada chave pertence.

Se você salvá-lo no Google Drive você só tem que tentar um por um, eu acho. Sim, tecnicamente, a chave de recuperação tem um nome de arquivo que você pode igualar também. Ainda assim, é muito mais conveniente obter uma chave com o nome de Jim-PC em vez da chave 12234-fdfdg-blabla-blublu

Você basicamente armazena a chave com a mesma conta usada para fazer login no seu computador. A única maneira de falhar é se você esquecer de passar para essa conta, mas isso significa que você não pode fazer login no seu computador de qualquer maneira. Se você é eu, eu posso ter várias unidades do Google não necessariamente vinculadas à minha conta da Microsoft. Então, acho que é mais apropriado usar a chave da Microsoft usando o serviço da Microsoft.