物联网设备的安全性取决于其凭证的强度。Verizon最新的数据泄露调查报告是黑客最受欢迎的目标之一——领先于银行、医疗和个人数据。当你考虑今天使用的大量数字账户和连接技术时,很容易理解为什么犯罪分子会发现凭证如此有吸引力。更难理解的是,为什么该公司继续成为基于凭证的攻击受害者。随着物联网设备和系统变得越来越复杂,组织必须采取行动来弥补这一关键漏洞。第一步是了解和解决以下主要凭证安全挑战。
默认密码
到2029年,Gartner该公司预计将有超过150亿台连接到企业基础设施的物联网设备。虽然这一趋势带来了许多业务优势,但它也带来了与凭证相关的新的安全挑战。直到最近,许多连接设备都标有默认密码。2019年发货6万台GPS这就是追踪器的情况,默认密码是123456。这种糟糕的安全方法使客户处于危险的状态,使黑客可以轻松地监控用户,欺骗追踪器的位置,或拦截紧急情况,并致电家人或当局。此外,默认密码的使用也给制造商带来了漏洞——比如犯罪分子可能会劫持账户,更改密码,锁定客户,导致客户支持和经销商漏洞。
虽然随着加州物联网法的出台,这一趋势已经开始改变,但在部署物联网技术之前更新凭证仍然是一种很好的安全做法。此外,如果发现任何入侵迹象,公司必须继续监控物联网凭证的完整性,并采取自动响应措施。
密码实践不好
凭证安全的另一个主要驱动因素是众所周知的坏密码习惯。面对管理许多在线账户和服务凭证,员工通常会创建简单易记的密码。此外,人们经常在多个账户中重复使用相同的密码或相同的词根的细微变化——例如,“P@ssword1”和“P@$$word1”。
这不仅仅是入门级员工或在非技术领域工作的员工。在最近的一项调查中,近四分之一IT安全领导承认在工作和个人网站上使用相同的密码。如果这些凭证中的任何一个都暴露在以前的违规行为中,这类似于为黑客推出欢迎垫。这些罪犯可以访问大量泄露的密码通过暗网络、破解字典和其他来源;他们使用它们渗透物联网设备和企业系统只是时间问题。
新兴的认证机制
另一个证据安全挑战是了解各种新兴身份验证机制的局限性,以确定使用哪些机制以及如何最好地部署它们。
- 多重身份验证:MFA对账户的访问权限依靠额外的身份验证因素,如密码和SMS结合使用文本消息代码。从安全的角度来看,MFA它可能相对强大,这取决于所使用的因素。然而,用户通常会发现它很麻烦,并且在给定选项时不会主动使用它。例如,微软向其企业云用户报告MFA利用率只有11%。
- 自适应身份验证:自适应身份验证交叉引用IP地址、地理位置、设备声誉等行为,从而分配风险评分进入登录和相应的升级因素。由于这些系统通常会积极调整以提高效率,它们通常会在不需要的情况下引入额外的身份验证步骤——让员工感到沮丧。
- 生物特征认证:生物特征被称为凭证安全的灵丹妙药,但我们不太可能在不久的将来看到生物特征的广泛应用。此外,当系统出现故障或不可用时,生物识别系统仍然使用基于备用密码的机制。最后,生物识别技术也带来了自身的安全挑战。毕竟,员工无法更新视网膜或指纹。
保护密码层
正如上面所强调的,当谈到物联网凭证的安全时,密码层的安全是不可替代的。MFA当然,它与其他身份验证策略有一席之地,但它们将继续成为攻击的受害者,除非公司能够处理密码安全问题。那么,组织应该怎么做呢?
最具成本效益的方法之一是在创建新密码和每天检查密码是否泄露时进行自动凭证筛选。这减少了员工创建过于复杂密码的责任,并帮助公司不消耗大量密码IT消除密码泄露的威胁。
员工可能是创建密码的人,但凭证安全的责任最终在于组织。不良行为人将继续以凭证作为攻击手段,但通过正确的动态凭证筛选解决方案,公司可以保护密码和敏感数据,并成功抵制这些尝试。