弱密碼會毀滅物聯(lián)網(wǎng)(IoT)嗎?

Sue Poremba
弱密碼可能會損害組織的安全工作,使設備容易被黑客攻擊,但是它們是否也可能成為物聯(lián)網(wǎng)(IoT)安全的最大故障點呢?弱密碼肯定會使部署物聯(lián)網(wǎng)設備的公司面臨更大的風險,成為網(wǎng)絡攻擊的受害者。

360截圖16440809323970.png

弱密碼可能會損害組織的安全工作,使設備容易被黑客攻擊,但是它們是否也可能成為物聯(lián)網(wǎng)(IoT)安全的最大故障點呢?弱密碼肯定會使部署物聯(lián)網(wǎng)設備的公司面臨更大的風險,成為網(wǎng)絡攻擊的受害者。

我們已經(jīng)開始看到針對物聯(lián)網(wǎng)設備的攻擊,他們正在使用弱密碼作為攻擊手段。2019年,威脅參與者利用密碼管理不善的優(yōu)勢,攻擊打印機和手機等流行的辦公物聯(lián)網(wǎng)設備。2020年,我們就已經(jīng)看到了IoT攻擊目標路由器,并導致密碼數(shù)據(jù)轉儲在黑客論壇上。

在易受攻擊的密碼中,包括制造商使用的默認密碼,這些密碼看起來好像是給物聯(lián)網(wǎng)增加了安全性。實際上,所有這些密碼都會給用戶帶來一種安全的假象,他們認為,有一個密碼附加在設備上就安全了。在這些情況下,帶來的結果是一個更大的攻擊面,即防御能力差的端點,使得惡意參與者可以輕松地滲透。

如果沒有更好的密碼管理,物聯(lián)網(wǎng)安全可能很快變得難以為繼。

物聯(lián)網(wǎng)是一種熱門商品。在1月份的美國消費電子展(CES)上,物聯(lián)網(wǎng)設備隨處可見,形式多樣。我們即將達到這樣一個地步:我們所能想象到的每一件商品都內置了智能技術,這意味著急于將這些設備推向消費者,比其他人更搶先。

“制造商致力于盡快將智能設備推向市場,但是在這場利用物聯(lián)網(wǎng)潛力的競賽中,人們常常嚴重忽視了安全性,”Enzoic首席執(zhí)行官Michael Greene在一封電子郵件中說道。

對于這些制造商來說,密碼安全(或任何類型的安全)在優(yōu)先級列表中到底排第幾位?

Greene說:“許多連接的設備均標配有默認密碼,在中國生產的60萬臺GPS追蹤器的默認密碼均為'123456'。”政府也不認為IoT安全是一個高度優(yōu)先的問題,因此,有關默認密碼的法規(guī)以及在物聯(lián)網(wǎng)設備中構建安全性的法規(guī),目前很少。這意味著保護這些設備的責任落在用戶和IT部門的肩上。

但是用戶和IT部門跟不上節(jié)奏。Greene認為,這里的工作并不局限于簡單地替換默認密碼。相反,它必須包括在整體密碼管理方面變得越來越科學。為了說明這一點的必要性,根據(jù)LogMeIn的一項調查,將近60%的用戶在多個設備,網(wǎng)站和其他訪問點上使用相同的密碼。

Greene還說:“在這種環(huán)境下,黑客可以輕松獲取以前暴露過的密碼,并使用該密碼來訪問其他系統(tǒng)和設備。”由于密碼管理不善且密碼總體上較弱,他認為,我們將看到更多針對智能設備的攻擊,特別是如果物聯(lián)網(wǎng)安全問題從一開始就不被視為緊迫問題,并在整個開發(fā)和銷售生態(tài)系統(tǒng)中沒有得到解決的話。

物聯(lián)網(wǎng)安全是每個人的責任

變革來之不易!用戶在密碼管理方面有自己的方式,IT部門經(jīng)常會遇到比需要監(jiān)控物聯(lián)網(wǎng)密碼更直接的問題,尤其是如果他們負責組織內幾十個或幾百個設備的話。

Check Point軟件技術公司網(wǎng)絡研究負責人Yaniv Balmas在新奧爾良CPX360的一次對話中說,物聯(lián)網(wǎng)正在成為整體威脅格局的主要參與者。這些設備的安全級別已經(jīng)相對較低了,但是任何提高設備安全性的更改都會在開發(fā)方面(在這種情況下通常將成本轉嫁給消費者)或在用戶方面花費金錢。

巴爾馬斯說:“成本往往會贏,我們想要更便宜的產品。”

但是,在保護物聯(lián)網(wǎng)設備安全方面,一切都不會丟失。公司正在尋求密碼以外的解決方案來進行身份驗證。例如,亞馬遜正在考慮將其在實體商店中的支付亭與生物識別方法聯(lián)系起來,該方法將提示客戶使用他們的指紋來驗證其身份,該身份將與信用卡或借記卡相關聯(lián)。另一個積極的步驟是由UL發(fā)起的IoT安全評估計劃。UL認證標志將提醒消費者注意與各種IoT設備相關的安全風險和標準。

制造商必須在開發(fā)階段更加重視安全性,而且公司必須利用先進的身份驗證選項。在此之前,將由用戶和公司的安全策略來確保IoT設備的安全。這將需要一個簡單的步驟:立即將默認密碼更改為強大而獨特的密碼。只要我們繼續(xù)在IoT設備上使用弱密碼,就會將組織的網(wǎng)絡和數(shù)據(jù)處于不必要的風險之中。

文章來源:https://securityintelligence.com/articles/will-weak-passwords-doom-the-internet-of-things-iot/

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論

本月熱門