默认密码对于简化生产流程或帮助系统管理员在网络中轻松部署新设备非常有用。网络安全和基础设施安全局(CISA)强调,默认密码也是公司和整个互联网整体安全的祸害,应该永远消失。CISA 继续打击技术制造商使用的默认密码。美国网络安全局最近提供了一份新的"安全设计"指南,敦促软件和硬件公司"主动"消除其产品中默认密码被利用的风险。 23-1461_SbDAlert_12142023_FBLKINTWR - 1200x628_0.png© 由 cnBeta.COM 提供
CISA 在最新指南中说,"1234"、"默认"甚至"密码"等默认密码经常被恶意网络行为者利用。不安全的密码提供了对暴露在互联网上的系统的初始访问权限,也为上述恶意行为者在组织内部横向移动提供了肆虐和窃取敏感数据的途径。
据 CISA 称,伊斯兰革命卫队(IRGC)附属组织等臭名昭著的威胁行为者已经利用设置为"静态默认"的密码成功入侵了美国的关键基础设施。该机构发布最新警报的原因是"最近和正在发生的"威胁活动,以及"多年的证据"表明,依靠成千上万的客户更改密码是不可能奏效的。
CISA 为设计新技术产品的制造商提供了以下两条原则:
掌握客户安全成果
建立组织结构和领导力,以实现这些目标
技术公司必须取消软件和设备中的默认密码,为每种产品提供独特的"设置密码",迫使用户从一开始就选择新的安全密码。另一种可行的替代方法是加入"有时间限制"的密码,这种密码在设置过程完成后会自行失效,并需要更安全的验证方法,如防网络钓鱼的多因素验证(MFA)。
CISA 指出,企业还应"确保"其业务结构的安全,确保生产链中的每个环节都了解网络安全问题的重要性。产品的设计、制造和交付必须默认内置安全保障。行政领导还必须提供"激励结构"和适当的资源,以实现这些设计安全成果。
CISA 表示,通过在设计、开发和交付过程中执行这两项原则,软件制造商将(有望)防止其产品中的静态默认密码被利用。该机构致力于为技术行业提供更多的安全设计(SbD)警报,重点关注可在全球范围内显著减少危害的供应商决策。
访谈
更多做行业赋能者 HID迎接数字化浪潮新机遇 破解新挑战
今年3月份,全球可信身份解决方案提供商HID发布了最新的《安防行业现状报告》(以下简称“报告”),该报告…
数字化浪潮下,安防厂商如何满足行业客户的定制化需求?
回顾近两年,受疫情因素影响,包括安防在内的诸多行业领域都遭受了来自市场 “不确定性”因素的冲击,市场…
博思高邓绍昌:乘产品创新及客户服务之舟,在市场变革中逆风飞扬
11月24日,由慧聪物联网、慧聪安防网、慧聪电子网主办的2022(第十九届)中国物联网产业大会暨品牌盛会,在深…