Security

手機加密密碼

  • August 14, 2015

我想知道其他人為此做了什麼。

我有一個客戶需要滿足 HIPAA 安全合規性。我有兩件事想知道。

  1. 我需要加密離開這個辦公室的所有筆記型電腦。一些使用者偶爾交換筆記型電腦,使得加密密碼難以實施。您認為讓所有筆記型電腦使用相同的加密密碼或只是增加密碼是否明智?像 Device-1 = PassA,Device-2 = PassB?
  2. 醫生有家用電腦,他們使用該 VPN 進入辦公室。從我的角度來看,這也應該被加密以防萬一他們被盜。我們使用的軟體雖然不會在本地儲存任何使用者數據。你認為我還應該加密嗎?

謝謝您的幫助!

  1. 不要共享密碼,也不要根據機器使密碼“可預測”。每個像樣的磁碟加密系統都應該允許使用多個密碼來解鎖磁碟——實際加密磁碟的密鑰不是基於輸入的密碼,而是儲存在磁碟上並用密碼加密。其中一個密碼片語應該是“管理員覆蓋”密碼片語,並且可以為每個需要使用機器的人設置其他密碼片語。
  2. 如果醫生無法從應用程序中下載敏感數據,則客戶端電腦不需要加密,但這是一個巨大的“如果”。最好加密和安全而不是抱歉。您需要將可靠的兩因素身份驗證和端點安全措施放在 VPN 上,因此對於想要破壞 VPN 的攻擊者來說,這至少是一個合理的障礙。

最後,諮詢專家。我不常說,但這東西亂七八糟,很難糾正,人們的病歷在網際網路上也不是很酷。

引用自:https://serverfault.com/questions/709142