預設密碼“admin"將被禁止,安全更上一層樓

Editor發表於2018-10-08
密碼

9月28日,美國加利福尼亞州通過了一項法律,規定2020年後所有的消費電子產品中禁止使用“admin”、“123456”,以及“password”等其他經典的預設密碼。


範圍涵蓋從路由器到智慧家居,在該州建造的每個新裝置都必須具有開箱即用的安全功能。法律特別要求每個裝置都帶有“該獨有的”(“unique to each device.”)預程式設計密碼。


預設密碼“admin"將被禁止,安全更上一層樓
(圖片來源:techcrunch)

它還要求使用者在首次授予裝置訪問許可權之前生成新的身份驗證方法”,在第一次開啟是強制使用者將其唯一密碼更改為新的密碼。


在Twitter上標籤為“網際網路全能”的Kieren McCarthy, 在10月4日的一篇文章中表示:


該法案的目的是,提前解決在整個網際網路中大規模和日益增加的不安全感。這些天似乎所有東西都連線到網際網路,甚至浴室也被連線到網際網路。很大程度上,這是因為西方經濟體中很大一部分人將智慧手機接入網際網路,而將網際網路連線放入裝置比以往成本低,且更容易。


雖然要求每個裝置都有自己獨特的密碼是向前邁出的一步,但它僅代表了安全樹上最低端的成果,甚至可能給立法者帶來一種錯覺——讓他們認為已經解決了這個問題。但事實是,他們還沒有。


多年來,殭屍網路通過利用網路安全脆弱的裝置,對大量網站發起DDOS攻擊——即分散式拒絕服務攻擊。


殭屍網路通常依賴於預設密碼,這些密碼在構建時被硬編碼到裝置中,使用者以後不會對其進行更改。惡意軟體會使用公開的預設密碼登入、控制裝置,劫持裝置,並且在使用者不知情的情況下利用該裝置進行網路攻擊。


兩年前,臭名昭著的Mirai殭屍網路就讓Twitter,SoundCloud,Spotify,Shopify等數十個熱門網站離線。


這項法律是朝著正確方向邁出的一步,可以防止這類殭屍網路,但卻無法解決更廣泛的安全問題。


其他更高階的殭屍網路不需要猜測密碼,因為它們會利用物聯網裝置中的已知漏洞,如智慧燈泡、警報和家用電子產品。


Kieren McCarthy 指出:


雖然預設密碼是一個特殊問題,但更大的問題是無法更新軟體。訪問電子產品的方法有很多種,使用者名稱/密碼只是其中之一。


正如其他人所指出的那樣,簽署的法律並未要求裝置製造商在發現錯誤時更新其軟體。像亞馬遜、蘋果和谷歌這樣的大型裝置製造商確實更新了他們的軟體,但許多鮮為人知的品牌卻沒有。


Kieren McCarthy就表示過:


許多裝置製造商也有笨重的更新介面,讓人們不再使用它們。


同樣,製造商還有其他懶惰的捷徑,讓他們的裝置不安全。例如,保持未使用的埠開啟。或者允許他們的裝置與同一網路上的任何內容和其他所有內容進行通訊。


如果製造商被迫採用GDPR式的最小化工作,其理念是隻允許所需的東西,那麼它不僅會使一切變得更加安全,而且會迫使公司更加深入地考慮其裝置的安全性。


就像Kieren McCarthy說的那樣,我們需要一個網際網路裝置安全法案,其明確目標是以真實的方式改善整體線上安全性,推動一系列真正有效的變革。



參考來源:

  • techcrunch.
  • theregister



- End -




更多閱讀:


1、蘋果和亞馬遜否認被中國微型晶片滲透


2、美國知名黑客入侵11,000多個軍方政府商業網站 或面臨20年監禁


3、GitHub漏洞允許任意程式碼執行,Windows不受影響


4、新加坡史上“最嚴重“ 的個人資料洩露事件中黑客成功入侵的三大因素(含視訊)


相關文章