弱密码会毁灭物联网(IoT)吗?
弱密码可能会损害组织的安全工作,使设备容易被黑客攻击,但是它们是否也可能成为物联网(IoT)安全的最大故障点呢?弱密码肯定会使部署物联网设备的公司面临更大的风险,成为网络攻击的受害者。
我们已经开始看到针对物联网设备的攻击,他们正在使用弱密码作为攻击手段。2019 年,威胁参与者利用密码管理不善的优势,攻击打印机和手机等流行的办公物联网设备。2020 年,我们就已经看到了 IoT 攻击目标路由器,并导致密码数据转储在黑客论坛上。
在易受攻击的密码中,包括制造商使用的默认密码,这些密码看起来好像是给物联网增加了安全性。实际上,所有这些密码都会给用户带来一种安全的假象,他们认为,有一个密码附加在设备上就安全了。在这些情况下,带来的结果是一个更大的攻击面,即防御能力差的端点,使得恶意参与者可以轻松地渗透。
如果没有更好的密码管理,物联网安全可能很快变得难以为继。
物联网是一种热门商品。在 1 月份的美国消费电子展(CES)上,物联网设备随处可见,形式多样。我们即将达到这样一个地步:我们所能想象到的每一件商品都内置了智能技术,这意味着急于将这些设备推向消费者,比其他人更抢先。
“制造商致力于尽快将智能设备推向市场,但是在这场利用物联网潜力的竞赛中,人们常常严重忽视了安全性,” Enzoic 首席执行官 Michael Greene 在一封电子邮件中说道。
对于这些制造商来说,密码安全(或任何类型的安全)在优先级列表中到底排第几位?
Greene 说:“许多连接的设备均标配有默认密码,在中国生产的 60 万台 GPS 追踪器的默认密码均为'123456'。” 政府也不认为 IoT 安全是一个高度优先的问题,因此,有关默认密码的法规以及在物联网设备中构建安全性的法规,目前很少。这意味着保护这些设备的责任落在用户和 IT 部门的肩上。
但是用户和 IT 部门跟不上节奏。Greene 认为,这里的工作并不局限于简单地替换默认密码。相反,它必须包括在整体密码管理方面变得越来越科学。为了说明这一点的必要性,根据 LogMeIn 的一项调查,将近 60%的用户在多个设备,网站和其他访问点上使用相同的密码。
Greene 还说:“在这种环境下,黑客可以轻松获取以前暴露过的密码,并使用该密码来访问其他系统和设备。” 由于密码管理不善且密码总体上较弱,他认为,我们将看到更多针对智能设备的攻击,特别是如果物联网安全问题从一开始就不被视为紧迫问题,并在整个开发和销售生态系统中没有得到解决的话。
物联网安全是每个人的责任
变革来之不易!用户在密码管理方面有自己的方式,IT 部门经常会遇到比需要监控物联网密码更直接的问题,尤其是如果他们负责组织内几十个或几百个设备的话。
Check Point 软件技术公司网络研究负责人 Yaniv Balmas 在新奥尔良 CPX360 的一次对话中说,物联网正在成为整体威胁格局的主要参与者。这些设备的安全级别已经相对较低了,但是任何提高设备安全性的更改都会在开发方面(在这种情况下通常将成本转嫁给消费者)或在用户方面花费金钱。
巴尔马斯说:“成本往往会赢,我们想要更便宜的产品。”
但是,在保护物联网设备安全方面,一切都不会丢失。公司正在寻求密码以外的解决方案来进行身份验证。例如,亚马逊正在考虑将其在实体商店中的支付亭与生物识别方法联系起来,该方法将提示客户使用他们的指纹来验证其身份,该身份将与信用卡或借记卡相关联。另一个积极的步骤是由 UL 发起的 IoT 安全评估计划。UL 认证标志将提醒消费者注意与各种 IoT 设备相关的安全风险和标准。
制造商必须在开发阶段更加重视安全性,而且公司必须利用先进的身份验证选项。 在此之前,将由用户和公司的安全策略来确保 IoT 设备的安全。这将需要一个简单的步骤:立即将默认密码更改为强大而独特的密码。只要我们继续在 IoT 设备上使用弱密码,就会将组织的网络和数据处于不必要的风险之中。
文章来源:https://securityintelligence.com/articles/will-weak-passwords-doom-the-internet-of-things-iot/
关于我们
「龙归科技」 是一个专注于低代码赋能企业级信息化服务提供商。核心创始人团队来自绿盟安全、红帽开源操作系统、知名游戏玩蟹科技、知名开源社区等专家共同创立。
「龙归科技」 致力于让中国每一个企业拥有专属的自动化办公操作系统,助力企业或政府拥抱 (Cloud Native First)云原生优先战略,帮助客户构筑以「身份与应用」为中心的现代化 IT 基础设施!从而实现 「数字化转型」 及 「软件行业工业化生产」 !
主打产品:ArkOS 方舟操作系统:一个企业级办公自动化操作系统 ,结合自研低代码应用开发平台,构建产业生态,专注为各类企业与组织机构打造一体化全栈云原生平台。系统自带应用包括:ArkID 统一身份认证,ArkIDE,ArkPlatform,App Store 等产品。截至目前,公司已经获得 15 个 软件著作权、2 个发明专利,并与 2020 年 11 月份,获得北京海淀区中关村国家高新技术企业认定。
相关链接:
官网:https://www.longguikeji.com/
文档:https://docs.arkid.longguikeji.com/
开源代码仓库地址:
https://github.com/longguikeji
历史文章
还未添加个人签名 2021.01.11 加入
「龙归科技」致力于让每个组织拥有专属的自动化办公操作系统,助力企业或政府拥抱(Cloud Native First)云原生优先战略,帮助客户构筑以「身份与应用」为中心的现代化 IT 基础设施!
评论