Самый безопасный способ — ТРМ и USB брелок :)
Насколько я помню — ключ лежит шифрованный в нешифрованной бутовой области, а ключ к нему это PIN, TMP или USB, или же вариация этих вариантов.
При сбросе пароля дела не будет — данные останутся зашифрованы, и система уйдёт в режим восстановления.