Quando você instala o Bitlocker em um sistema sem um TPM, é necessário colocar a chave de inicialização em uma unidade flash.
Como você dificilmente pode esperar que o usuário armazene seu notebook e pen drive separadamente, o Bitlocker ofereceria alguma vantagem sobre um sistema não criptografado se ambos fossem perdidos / roubados?
Se ambos foram roubados pelo mesmo ladrão, que por acaso tem algum conhecimento de como o Bitlocker funciona, você pode presumir que seu sistema de arquivos foi invadido.
Você pode considerar o uso do TPM se seus dados forem extremamente importantes ou até mesmo o TPM + PIN. É melhor ter que confiar em coisas que estão em sua cabeça, em vez de em uma chave USB, que qualquer um pode colocar em suas mãos, se realmente quiserem.
O Bitlocker pode ser comprometido mesmo com um TPM. Claro, é improvável, mas tudo depende de quanto seus dados valem para você e quem está interessado nela.
Para o Joe comum, não vale a pena.
Para o nível de segurança do CEO, acho que estou pensando em adicionar uma camada extra de criptografia no mínimo.
Veja: link
Os dois ataques existentes contra o bitlocker são bastante extensos. Ganhar acesso ao computador das vítimas DOIS VEZES é um evento muito improvável. O que vai acontecer na maioria dos casos? O Laptop / Workstation é roubado ou apenas o disco rígido. O BitLocker manterá seus dados "seguros" (é claro que NUNCA há 100% de segurança).
Apenas os dados do CEO são importantes? Mesmo? Eu acho que posso fazer um monte de dano com alguns arquivos de funcionários aleatórios.
"Já que você dificilmente pode esperar que o usuário armazene seu notebook e pen drive separadamente [...]" Se você não puder ensinar aos funcionários o padrão básico de segurança, a maioria de suas precauções falhará.
Não me entenda mal aqui, mas a segurança não é feita da maneira mais simples:)