Secondo cmswire.com , uno dei maggiori rischi per la sicurezza con l'Internet of Things è un'autenticazione / autorizzazione insufficiente. Quando si tratta di Internet of Things, dovrei usare una password diversa per ciascuno dei miei dispositivi, o va bene trovare una password molto sicura da usare su tutti i miei dispositivi?
Più specificamente, se ho acquistato più iterazioni dello stesso dispositivo, dovrei trovare una password diversa per ognuna?
Risposte:
Molti fornitori hanno cattive pratiche di sicurezza e spediscono tutti i loro dispositivi con una password predefinita identica (che è più semplice che programmare ed etichettare ogni dispositivo con una password univoca o imporre una modifica della password prima che possa essere utilizzata).
Quando tali dispositivi sono accessibili online, diventa banale trovarli e utilizzare tali credenziali predefinite per abusarne su larga scala.
Il fatto che tu ti sforzi di cambiare la password predefinita è già sufficiente per contrastare gran parte di quel potenziale abuso, quasi a prescindere dalla forza effettiva della password che selezioni.
Va bene trovare una password molto sicura da usare su tutti i miei dispositivi?
Riutilizzare la stessa password in molti luoghi è universalmente una cattiva idea.
Il problema principale è che una buona sicurezza è difficile e non puoi davvero dire dall'esterno se la tua password davvero buona sarà adeguatamente protetta o meno, almeno fino al momento in cui diventa chiaro che la sicurezza è fallita, o non c'è mai stato qualsiasi sicurezza in primo luogo.
Ad esempio, anche la migliore password del mondo è inutile se il dispositivo / l'applicazione / il sito Web consegnerà effettivamente quella password, in chiaro, quando viene richiesta correttamente. Sarebbe particolarmente dannoso se quella password potesse essere successivamente utilizzata per sbloccare molti più dispositivi / applicazioni / siti / segreti.
Se non disponi già di un gestore di password e non ne desideri uno, semplicemente etichettare i dispositivi con una password unica è abbastanza efficace e sicuro contro gli attacchi digitali, come un notebook vecchio stile.
L'uso di password diverse per dispositivi diversi non migliora la sicurezza su larga scala. Può essere di aiuto se qualcuno ha bisogno di entrare e entrare in tutti i tuoi dispositivi, uno per uno.
Ma nella maggior parte dei casi, la violazione della sicurezza viene eseguita tramite il dispositivo più debole dei dispositivi e, nella maggior parte dei casi, il dispositivo stesso è la vulnerabilità, non la password.
Nella vita reale è davvero difficile memorizzare molte password (ovviamente possiamo usare un gestore di password) e quelle password forti sono ancora più difficili da ricordare.
L'uso di una password complessa può aiutarti in una certa misura, ma il vero problema di sicurezza non è la tua password!
Dal momento che dovresti usare lunghe password casuali, il che non è molto pratico a meno che tu non usi un gestore di password, non c'è molto overhead nell'uso di password diverse su ogni dispositivo.
In pratica, il vantaggio interno acquisito è probabilmente abbastanza minimo. Tuttavia, se riutilizzi le password nel tuo dominio locale, un dispositivo debole dà accesso a tutti gli altri. Ad esempio, il blocco Noke ha / ha avuto una vulnerabilità senza patch durante il 2016 in cui lo scambio di chiavi over-the-air ha rivelato la sua chiave privata (anche se generata internamente, non fornita dall'utente).
Ciò che è fondamentale è che i tuoi dispositivi IoT non condividano le tue password di comunicazione.