移动加密密码

Question

我想知道其他人会怎么做。

我有一个客户需要满足HIPAA的安全法规。我有两件事想知道。

1. 我需要加密所有离开这个办公室的笔记本电脑。一些用户偶尔交换笔记本电脑，使得加密密码难以实现。你认为让所有的笔记本电脑使用相同的加密密码是明智的吗，或者仅仅是密码的增加？就像设备-1= PassA，设备-2= PassB？
2. 医生有家用个人电脑，他们使用VPN进入办公室。在我看来，这也应该是加密的，以防他们被偷。我们使用的软件，但不存储任何用户数据在本地。你觉得我还应该加密吗？

谢谢你的帮助！

Answer 1

1. 不要共享密码，也不要让密码基于机器“可预测”。每个良好的磁盘加密系统都应该允许使用多个密码来解锁磁盘--实际上加密磁盘的密钥不是基于输入的密码，而是存储在磁盘上并使用密码加密。其中一个密码应该是“管理重写”密码，其他密码可以为每个需要使用机器的人设置。
2. 如果医生不能从应用程序下载敏感数据，客户端机器就不需要加密，但是这是一个巨大的“如果”。最好是加密和安全，而不是道歉。您将希望将可靠的双因素安全措施和端点安全措施应用到VPN上，因此，这至少是一个合理的障碍，阻碍了想要破坏VPN的攻击者。

最后，咨询专家。我不常这样说，但这些东西都是一团糟，很难搞清楚，人们的医疗记录在互联网上也不酷。