弱密码可能会损害组织的安全工作,使设备容易被黑客攻击,但是它们是否也可能成为物联网(IoT)安全的最大故障点呢?弱密码肯定会使部署物联网设备的公司面临更大的风险,成为网络攻击的受害者。
我们已经开始看到针对物联网设备的攻击,他们正在使用弱密码作为攻击手段。2019年,威胁参与者利用密码管理不善的优势,攻击打印机和手机等流行的办公物联网设备。2020年,我们就已经看到了IoT攻击目标路由器,并导致密码数据转储在黑客论坛上。
在易受攻击的密码中,包括制造商使用的默认密码,这些密码看起来好像是给物联网增加了安全性。实际上,所有这些密码都会给用户带来一种安全的假象,他们认为,有一个密码附加在设备上就安全了。在这些情况下,带来的结果是一个更大的攻击面,即防御能力差的端点,使得恶意参与者可以轻松地渗透。
如果没有更好的密码管理,物联网安全可能很快变得难以为继。
物联网是一种热门商品。在1月份的美国消费电子展(CES)上,物联网设备随处可见,形式多样。我们即将达到这样一个地步:我们所能想象到的每一件商品都内置了智能技术,这意味着急于将这些设备推向消费者,比其他人更抢先。
“制造商致力于尽快将智能设备推向市场,但是在这场利用物联网潜力的竞赛中,人们常常严重忽视了安全性,”Enzoic首席执行官Michael Greene在一封电子邮件中说道。
对于这些制造商来说,密码安全(或任何类型的安全)在优先级列表中到底排第几位?
Greene说:“许多连接的设备均标配有默认密码,在中国生产的60万台GPS追踪器的默认密码均为'123456'。”政府也不认为IoT安全是一个高度优先的问题,因此,有关默认密码的法规以及在物联网设备中构建安全性的法规,目前很少。这意味着保护这些设备的责任落在用户和IT部门的肩上。
但是用户和IT部门跟不上节奏。Greene认为,这里的工作并不局限于简单地替换默认密码。相反,它必须包括在整体密码管理方面变得越来越科学。为了说明这一点的必要性,根据LogMeIn的一项调查,将近60%的用户在多个设备,网站和其他访问点上使用相同的密码。
Greene还说:“在这种环境下,黑客可以轻松获取以前暴露过的密码,并使用该密码来访问其他系统和设备。”由于密码管理不善且密码总体上较弱,他认为,我们将看到更多针对智能设备的攻击,特别是如果物联网安全问题从一开始就不被视为紧迫问题,并在整个开发和销售生态系统中没有得到解决的话。
物联网安全是每个人的责任
变革来之不易!用户在密码管理方面有自己的方式,IT部门经常会遇到比需要监控物联网密码更直接的问题,尤其是如果他们负责组织内几十个或几百个设备的话。
Check Point软件技术公司网络研究负责人Yaniv Balmas在新奥尔良CPX360的一次对话中说,物联网正在成为整体威胁格局的主要参与者。这些设备的安全级别已经相对较低了,但是任何提高设备安全性的更改都会在开发方面(在这种情况下通常将成本转嫁给消费者)或在用户方面花费金钱。
巴尔马斯说:“成本往往会赢,我们想要更便宜的产品。”
但是,在保护物联网设备安全方面,一切都不会丢失。公司正在寻求密码以外的解决方案来进行身份验证。例如,亚马逊正在考虑将其在实体商店中的支付亭与生物识别方法联系起来,该方法将提示客户使用他们的指纹来验证其身份,该身份将与信用卡或借记卡相关联。另一个积极的步骤是由UL发起的IoT安全评估计划。UL认证标志将提醒消费者注意与各种IoT设备相关的安全风险和标准。
制造商必须在开发阶段更加重视安全性,而且公司必须利用先进的身份验证选项。在此之前,将由用户和公司的安全策略来确保IoT设备的安全。这将需要一个简单的步骤:立即将默认密码更改为强大而独特的密码。只要我们继续在IoT设备上使用弱密码,就会将组织的网络和数据处于不必要的风险之中。
文章来源:https://securityintelligence.com/articles/will-weak-passwords-doom-the-internet-of-things-iot/
