OK, nous devons d'abord couvrir ce qui fait un bon mot de passe:
Les mots de passe "bons" sont d'une longueur substantielle et ont la capacité ( souvent une exigence) pour utiliser des caractères spéciaux.
Pourquoi l'ajout éventuel de caractères spéciaux est-il important? En ayant plus de caractères possibles, vous avez créé un ensemble beaucoup plus grand de combinaisons pour chaque mot de passe.
Exemples:
-
Les mots de passe doivent comporter 8 caractères en minuscules.
Il y a 26 caractères possibles pour chaque position, donc 26 ^ 8 = 208827064576 combinaisons possibles.
Les mots de passe doivent comporter 8 caractères. Les mots de passe peuvent inclure des majuscules, des minuscules, des chiffres et des caractères spéciaux.
26 minuscules + 26 majuscules + 10 chiffres + 30 (ish) divers caractères spéciaux = 92 possibilités pour chaque caractère.
92 ^ 8 = 5.13E15 combinaisons possibles!
Ainsi, on peut voir qu'en augmentant les valeurs possibles pour chaque caractère, on a sensiblement augmentation de la puissance requise pour forcer brutalement ces mots de passe.
Pourquoi est-ce important ici?
En termes simples, les mots de passe plus longs sont plus difficiles à retenir. Par conséquent, les utilisateurs sont plus enclins à écrire les mots de passe et à les réutiliser. Par conséquent, en réponse à votre première question: Non, vous devrez toujours changer de mot de passe. Les gens peuvent signaler la perte d'un ordinateur portable d'entreprise, mais peuvent ne pas dire à l'entreprise si leur portefeuille a été volé (avec des mots de passe écrit à l'intérieur) ou que leur compte Yahoo a été piraté (qui a utilisé le même mot de passe ... mais bien sûr, l'entreprise ne le sait pas.)
En ce qui concerne votre deuxième question .. .
Je Cela dépend , mis à part les enregistreurs de frappe:
-
Supposons que les ordinateurs portables ont des lecteurs cryptés par mot de passe.
Si l'ordinateur portable est éteint lorsqu'il est volé. vous êtes assez en sécurité.
Si l'ordinateur portable est allumé, vous avez des problèmes, que la machine soit connectée ou non. Quelques exemples rapides:
- Des programmes tels que Cain & Abel pourraient vider tous les mots de passe stockés dans les navigateurs ou sur la machine locale.
- De plus, certaines machines avec Firewire peuvent être sensibles aux attaques Direct Memory Access qui peuvent fuir le contenu de la mémoire. (Heureusement pour les hackers, certaines cartes Firewire sont Plug-and-Play!)
Si l'ordinateur portable est en mode veille, la RAM conserve juste assez d'énergie pour maintenir le contenu de la mémoire en vie. Ainsi, tout mot de passe récemment utilisé pourrait théoriquement être glané par "ceux qui connaissent ces choses". (Par exemple, un bain d'azote liquide dans la RAM et son échange sur un PC déjà en marche.)
-
Si les ordinateurs portables n'ont pas de lecteurs chiffrés ...
- Que l'ordinateur portable soit allumé ou éteint, les données peuvent être extraites par un autre système d'exploitation, permettant à des outils comme Cain & Abel de faire un peu de magie.
Donc, pour terminer:
- Exiger le chiffrement complet du disque des ordinateurs portables (par exemple TrueCrypt)
- Les mots de passe des utilisateurs doivent comporter au moins 8 caractères et contiennent des combinaisons de majuscules, de minuscules, de chiffres et / ou de caractères spéciaux.
- Les mots de passe doivent changer régulièrement (par exemple 120-180 jours)
- Utilisez un gestionnaire de mots de passe approuvé.
- Dernier point mais non le moindre , éduquez vos employés. Expliquez les risques de base de perte de mot de passe et assurez-vous que la protection de l'entreprise / du réseau fait partie du devoir de chaque utilisateur. Incluez des pratiques de base telles que ne pas brancher de périphériques USB étranges, ne pas laisser les systèmes sans surveillance connectés et ne pas écrire les mots de passe.
*** Cela n'a généralement pas "beaucoup de force" venant du service informatique. Il est important que les dirigeants / propriétaires de votre entreprise adhèrent à ce dernier point, le comprennent et le promeuvent à l'échelle de l'entreprise avec leur autorité.