Nein, die sicherste Variante ist die Verwendung von TPM und PIN. Damit ist die Möglichkeit der Entschlüsselung auch noch auf das Gerät beschränkt.
Normalerweise sieht es so aus, dass man das BIOS mit Passwort versieht, im BIOS die Bootoptionen so einstellt, dass nur von der HDD gebootet wird und dann kommt halt Bitlocker mit PIN.