网络防御机构CISA表示 技术制造商必须取消默认密码这一设计

默认密码对于简化生产流程或帮助系统管理员在网络中轻松部署新设备非常有用。网络安全和基础设施安全局（CISA）强调，默认密码也是公司和整个互联网整体安全的祸害，应该永远消失。CISA 继续打击技术制造商使用的默认密码。美国网络安全局最近提供了一份新的"安全设计"指南，敦促软件和硬件公司"主动"消除其产品中默认密码被利用的风险。 23-1461_SbDAlert_12142023_FBLKINTWR - 1200x628_0.png© 由 cnBeta.COM 提供

CISA 在最新指南中说，"1234"、"默认"甚至"密码"等默认密码经常被恶意网络行为者利用。不安全的密码提供了对暴露在互联网上的系统的初始访问权限，也为上述恶意行为者在组织内部横向移动提供了肆虐和窃取敏感数据的途径。

据 CISA 称，伊斯兰革命卫队（IRGC）附属组织等臭名昭著的威胁行为者已经利用设置为"静态默认"的密码成功入侵了美国的关键基础设施。该机构发布最新警报的原因是"最近和正在发生的"威胁活动，以及"多年的证据"表明，依靠成千上万的客户更改密码是不可能奏效的。

CISA 为设计新技术产品的制造商提供了以下两条原则：

掌握客户安全成果

建立组织结构和领导力，以实现这些目标

技术公司必须取消软件和设备中的默认密码，为每种产品提供独特的"设置密码"，迫使用户从一开始就选择新的安全密码。另一种可行的替代方法是加入"有时间限制"的密码，这种密码在设置过程完成后会自行失效，并需要更安全的验证方法，如防网络钓鱼的多因素验证（MFA）。

CISA 指出，企业还应"确保"其业务结构的安全，确保生产链中的每个环节都了解网络安全问题的重要性。产品的设计、制造和交付必须默认内置安全保障。行政领导还必须提供"激励结构"和适当的资源，以实现这些设计安全成果。

CISA 表示，通过在设计、开发和交付过程中执行这两项原则，软件制造商将（有望）防止其产品中的静态默认密码被利用。该机构致力于为技术行业提供更多的安全设计（SbD）警报，重点关注可在全球范围内显著减少危害的供应商决策。