По данным cmswire.com , одним из основных рисков для безопасности Интернета вещей является недостаточная аутентификация / авторизация. Должен ли я использовать разные пароли для каждого из моих устройств, когда дело доходит до Интернета вещей, или можно использовать один очень безопасный пароль для использования на всех моих устройствах?
Более конкретно, если я купил несколько итераций одного и того же устройства, должен ли я придумать разные пароли для каждого из них?
Ответы:
Многие поставщики придерживаются плохой практики безопасности и поставляют все свои устройства с идентичным паролем по умолчанию (это проще, чем программирование и маркировка каждого устройства уникальным паролем или обязательное изменение пароля перед его использованием).
Когда такие устройства доступны онлайн, становится тривиально найти их и использовать такие учетные данные по умолчанию, чтобы злоупотреблять ими в масштабе.
Тот факт, что вы предприняли попытку изменить пароль по умолчанию, уже достаточен для того, чтобы помешать значительной части этого потенциального злоупотребления, почти независимо от фактической надежности выбранного вами пароля.
Можно ли придумать один очень безопасный пароль для использования на всех моих устройствах?
Повторное использование одного и того же пароля во многих местах является плохой идеей.
Основная проблема заключается в том, что надежная защита является сложной задачей, и вы не можете по-настоящему сказать извне, будет ли ваш действительно надежный пароль надежно защищен или нет, по крайней мере, до тех пор, пока не станет ясно, что защита не удалась или ее никогда не было любая безопасность в первую очередь.
Например, даже самый лучший пароль в мире бесполезен, если устройство / приложение / веб-сайт будет эффективно передавать этот пароль в виде открытого текста при правильном запросе. Было бы особенно плохо, если бы впоследствии этот пароль можно было использовать для разблокировки множества других устройств / приложений / сайтов / секретов.
Если у вас еще нет менеджера паролей и вы не хотите его использовать, просто маркировка устройств уникальным паролем является достаточно эффективной и надежной защитой от цифровых атак, как и старомодный ноутбук.
Использование разных паролей для разных устройств не повышает безопасность в больших масштабах. Это может помочь, если кому-то нужно взломать и проникнуть на все ваши устройства, один за другим.
Но в большинстве случаев, нарушение безопасности происходит через самое слабое устройство ваших устройств, и в большинстве случаев само устройство - это уязвимость, а не пароль.
В реальной жизни очень сложно запомнить много паролей (конечно, мы можем использовать менеджер паролей), а эти надежные пароли еще сложнее запомнить.
Использование надежного пароля может в некоторой степени помочь вам, но настоящей проблемой безопасности является не ваш пароль!
Поскольку вы должны использовать длинные случайные пароли, что не очень удобно, если вы не используете диспетчер паролей, использование разных паролей на каждом устройстве не требует особых затрат.
На практике полученное внутреннее преимущество, вероятно, довольно минимально. Однако если вы повторно используете пароли в локальном домене, любое слабое устройство предоставляет доступ ко всем остальным. Например, блокировка Noke имела / имела незащищенную уязвимость в течение 2016 года, когда в результате обмена ключами в эфире был раскрыт ее закрытый ключ (хотя он был сгенерирован внутри, а не предоставлен пользователем).
Важно то, что ваши IoT-устройства не передают ваши пароли связи.