cmswire.comによると、モノのインターネットの主要なセキュリティリスクの1つは不十分な認証/承認です。モノのインターネットに関しては、デバイスごとに異なるパスワードを使用する必要がありますか、それともすべてのデバイスで使用する非常に安全なパスワードを1つ作成しても大丈夫ですか?
より具体的には、同じデバイスのイテレーションを複数購入した場合、デバイスごとに異なるパスワードを作成する必要がありますか?
cmswire.comによると、モノのインターネットの主要なセキュリティリスクの1つは不十分な認証/承認です。モノのインターネットに関しては、デバイスごとに異なるパスワードを使用する必要がありますか、それともすべてのデバイスで使用する非常に安全なパスワードを1つ作成しても大丈夫ですか?
より具体的には、同じデバイスのイテレーションを複数購入した場合、デバイスごとに異なるパスワードを作成する必要がありますか?
回答:
多くのベンダーは悪いセキュリティ慣行を持ち、すべてのデバイスに同一のデフォルトパスワードを付けて出荷しています(各デバイスに固有のパスワードをプログラミングしてラベルを付けたり、使用する前にパスワードの変更を義務付けるよりも簡単です)。
そのようなデバイスがオンラインでアクセス可能な場合、それらを見つけて大規模に悪用するためにそのようなデフォルトの資格情報を使用することは簡単になります。
デフォルトのパスワードを変更しようとするという事実は、選択したパスワードの実際の強度にほとんど関係なく、その潜在的な悪用の大部分を阻止するのにすでに十分です。
すべてのデバイスで使用する非常に安全なパスワードを1つ作成しても大丈夫ですか?
多くの場所で同じパスワードを再利用することは、一般的に悪い考えです。
主な問題は、優れたセキュリティは困難であり、少なくとも優れたパスワードが適切にセキュリティで保護されているかどうか、少なくともセキュリティが失敗したことが明らかになるか、またはそもそもセキュリティ。
たとえば、デバイス/アプリケーション/ウェブサイトが正しく尋ねられたときにクリアテキストでそのパスワードを効果的に引き渡す場合、世界で最高のパスワードでさえ役に立たない。その後、そのパスワードを使用してさらに多くのデバイス/アプリケーション/サイト/シークレットのロックを解除できる場合は、特に悪いでしょう。
パスワードマネージャーをまだお持ちでなく、デバイスを一意のパスワードでラベル付けしたくない場合は、昔ながらのノートブックのように、デジタル攻撃に対して非常に効果的で安全です。
デバイスごとに異なるパスワードを使用しても、大規模なセキュリティは向上しません。誰かがすべてのデバイスに1つずつ侵入して侵入する必要がある場合に役立ちます。
しかし、ほとんどの場合、セキュリティ侵害はデバイスの最も弱いデバイスを介して行われます。これらのほとんどの場合、デバイス自体はパスワードではなく脆弱性です。
実際には、多くのパスワードを記憶することは非常に難しく(もちろんパスワードマネージャーを使用できます)、それらの強力なパスワードを覚えるのはさらに困難です。
強力なパスワードを使用するとある程度は役立つかもしれませんが、本当のセキュリティ上の問題はパスワードではありません!
パスワードマネージャーを使用しない限り、実際には実用的ではない長いランダムパスワードを使用する必要があるため、すべてのデバイスで異なるパスワードを使用するオーバーヘッドはあまりありません。
実際には、得られる国内の利点はおそらく非常にわずかです。ただし、ローカルドメインでパスワードを再利用すると、1つの脆弱なデバイスが他のすべてのデバイスにアクセスできるようになります。たとえば、Nokeロックには2016年中にパッチが適用されていない脆弱性があり、無線キー交換で秘密キーが公開されました(ユーザーが提供したものではなく、内部で生成されたものではありますが)。
重要なのは、IoTデバイスが通信パスワードを共有しないことです。