OK, per prima cosa dobbiamo coprire cosa rende una buona password:
Le "buone" password sono di notevole lunghezza e hanno la abilità (spesso un requisito) per utilizzare caratteri speciali.
Perché l'eventuale aggiunta di caratteri speciali è importante? Avendo più caratteri possibili, hai creato un insieme di combinazioni sostanzialmente più grande per ogni password.
Esempi:
-
Passwords need to be 8 characters using lowercase letters.
There are 26 possible characters for each position, so 26^8 = 208827064576 possible combinations.
-
Passwords need to be 8 characters. Passwords may include uppercase, lowercase, numerals, and special characters.
26 lowercase + 26 uppercase + 10 numerals + 30(ish) various special characters = 92 possibilities for each character.
92^8 = 5.13E15 possible combinations!
Quindi, possiamo vedere che aumentando i possibili valori per ogni personaggio, abbiamo aumentato notevolmente la potenza richiesta per forzare la forza di queste parole.
Perché è importante qui?
In parole povere, le password più lunghe sono più difficili da ricordare per le persone. Di conseguenza, le persone sono più inclini a scrivere le password in basso e a riutilizzarle. Pertanto, in risposta alla tua prima domanda: No, dovrai comunque modificare le password.
Le persone possono segnalare quando perdono un portatile aziendale, ma potrebbero non dirlo alla società se il loro portafoglio è stato rubato (con password scritte all'interno) o che il loro account Yahoo è stato violato (che utilizzava comodamente la stessa password ... ma ovviamente l'azienda non lo so.)
Riguardo alla tua seconda domanda ...
I t dipende , key logger da parte:
-
Supponiamo che i laptop abbiano dischi crittografati con password.
Se il laptop viene spento quando viene rubato. sei abbastanza sicuro.
Se il laptop è acceso, sei nei guai, indipendentemente dal fatto che la macchina sia connessa o meno. Un paio di rapidi esempi:
- Programmi come Cain & Abel potrebbe scaricare qualsiasi password memorizzata nei browser o sul computer locale.
- Inoltre, alcune macchine con firewire potrebbero essere suscettibili agli attacchi di Direct Memory Access che possono perdere contenuti della memoria. (Fortunatamente per gli hacker, alcune schede firewire sono Plug-and-Play!)
Se il laptop è in modalità di sospensione, la RAM mantiene una potenza sufficiente a mantenere in vita il contenuto della memoria. Quindi, qualsiasi password usata di recente potrebbe teoricamente essere raccolta da "quelli con la conoscenza di queste cose". (Ad esempio, bagno di azoto liquido nella RAM e lo si scambia in un PC già in esecuzione.)
-
Se i laptop non hanno unità crittografate ...
- Indipendentemente dal fatto che il laptop sia acceso o spento, i dati possono essere trascinati da un altro sistema operativo, consentendo strumenti come Cain & Abel potenzialmente potrebbe funzionare un po 'di magia.
Quindi, in chiusura:
- Richiedi la crittografia completa del disco dei laptop (ad esempio TrueCrypt)
- Le password degli utenti devono avere almeno 8 caratteri e contenere combinazioni di lettere maiuscole, minuscole, numeri e / o caratteri speciali.
- Le password dovrebbero cambiare regolarmente (ad esempio 120-180 giorni)
- Utilizza un gestore password approvato.
-
Ultimo ma non meno importante educa i tuoi dipendenti. Spiegare i rischi di base della perdita di password e coprire che proteggere la società / rete è parte del dovere di ogni utente. Includere pratiche di base come non collegare strani dispositivi USB, non lasciare sistemi incustoditi loggati e non scrivere giù password.
*** Questo in genere non ha "molta forza" proveniente dal reparto IT. È importante che i dirigenti / proprietari della tua azienda comprino questo ultimo punto, lo comprendano e lo promuovano a livello aziendale con la loro autorità.