Mật khẩu yếu có là điểm yếu chí mạng của IoT?

Mật khẩu yếu có thể làm ảnh hưởng bất kỳ tổ chức nào và làm cho bất cứ thiết bị nào có cũng có thể dễ dàng bị hack, và liệu rằng chúng có là điểm yếu nhất đối với bảo mật của Internet vạn vật (IoT)?

Mật khẩu yếu có là điểm yếu chí mạng của IoT?

mũi tênXem thêm: IoT sẽ tác động như thế nào trong tương lai !

Mật khẩu yếu chắc chắn khiến các công ty triển khai các thiết bị IoT có nguy cơ trở thành nạn nhân của một cuộc tấn công mạng lớn hơn.

Chúng tôi đã bắt đầu thấy các cuộc tấn công nhắm vào các thiết bị IoT khi chúng đang sử dụng mật khẩu yếu. Trong năm 2019, các tác nhân đe dọa đã lợi dụng việc quản lý mật khẩu kém để nhắm tới các thiết bị IoT văn phòng phổ biến như máy in và điện thoại. Ngay trong năm 2020, chúng tôi đã thấy một tấn công IoT nhắm tới bộ định tuyến và dẫn đến việc kết xuất dữ liệu mật khẩu trên một diễn đàn tin tặc.

Bao gồm trong số các mật khẩu dễ bị tấn công (và bị tấn công) là mật khẩu mặc định được sử dụng bởi các nhà sản xuất các thiết bị IoT. Trong thực tế, tất cả các mật khẩu này là tạo ra ảo tưởng về sự an toàn cho người dùng cho rằng vì có mật khẩu được gắn vào thiết bị khi nó được khui ra khỏi hộp, đó là tất cả những gì cần thiết. Kết quả thực tế trong những tình huống này là một bề mặt tấn công lớn hơn của các điểm cuối được bảo vệ kém để các tác nhân độc hại xâm nhập dễ dàng.

Nếu không quản lý mật khẩu tốt hơn, bảo mật IoT có thể nhanh chóng trở nên sụp đổ.

Mật khẩu yếu được hình thành trong quá trình phát triển

IoT là một mặt hàng nóng. Tại Triển lãm Điện tử tiêu dùng (CES) vào tháng 1, các thiết bị IoT có mặt ở mọi nơi, dưới mọi hình thức. Chúng ta sắp đạt đến điểm mà mọi mặt hàng chúng ta có thể tưởng tượng đều được tích hợp công nghệ thông minh, điều đó có nghĩa là bạn phải vội vàng đưa các thiết bị đó đến tay người tiêu dùng trước khi có người khác làm.

“Các nhà sản xuất đang tập trung vào việc đưa các thiết bị thông minh vào thị trường càng nhanh càng tốt, nhưng trong cuộc đua này để tận dụng tiềm năng của IoT, an ninh thường bị lãng quên ,” ông Michael Greene, CEO của Enzoic, giải thích trong một cuộc trò chuyện qua email.

“Vô số thiết bị được kết nối với mật khẩu mặc định là tiêu chuẩn, như trường hợp với 600.000 trình theo dõi GPS (GPS trackers) được sản xuất tại Trung Quốc có mật khẩu mặc định là ‘123456,” Greene nói. Chính phủ không coi bảo mật IoT là vấn đề ưu tiên cao, do đó, các quy định về mật khẩu mặc định – và nhu cầu xây dựng bảo mật cho các thiết bị IoT – hiện tại là tối thiểu. Điều này có nghĩa là trách nhiệm bảo mật các thiết bị này nằm trên vai của người dùng và bộ phận CNTT.

Nhưng người dùng và bộ phận CNTT không thể theo kịp. Công việc ở đây không giới hạn chỉ đơn giản là thay thế mật khẩu mặc định, theo Greene. Thay vào đó, nó phải bao gồm phát triển thông minh hơn về quản lý mật khẩu tổng thể. Để minh họa tại sao điều này là cần thiết, hãy xem xét thực tế rằng gần 60 phần trăm người dùng sử dụng cùng một mật khẩu trên nhiều thiết bị, trang web và các điểm truy cập khác, theo một khảo sát từ LogMeIn.

“Trong môi trường này, tin tặc có thể dễ dàng lấy được mật khẩu trước đây đã bị vi phạm và sử dụng nó để có quyền truy cập vào các hệ thống và thiết bị khác,” theo ông Green Greene. Do quản lý mật khẩu kém và mật khẩu yếu nói chung, ông tin rằng chúng ta sẽ thấy nhiều cuộc tấn công nhắm vào các thiết bị thông minh, đặc biệt là nếu vấn đề bảo mật IoT không được xem là mối quan tâm cấp bách từ đầu và giải quyết trên toàn bộ hệ sinh thái phát triển và bán hàng.

Bảo mật IoT là trách nhiệm của mọi người

Thay đổi sẽ không đến dễ dàng. Người dùng được thiết lập theo cách liên quan đến mật khẩu và bộ phận CNTT thường gặp nhiều vấn đề tức thời hơn nhu cầu giám sát mật khẩu IoT, đặc biệt nếu họ chịu trách nhiệm cho hàng chục hoặc hàng trăm thiết bị trong các tổ chức của họ.

Tuy nhiên, IoT đang trở thành một người chơi chính trong bối cảnh mối đe dọa tổng thể, Yaniv Balmas, người đứng đầu nghiên cứu về mạng tại Check Point Software Technologies, nói trong cuộc trò chuyện tại CPX360 ở New Orleans. Mức độ bảo mật của các thiết bị này tương đối thấp, nhưng bất kỳ thay đổi nào giúp cải thiện bảo mật thiết bị đều phải trả tiền, về phía phát triển – trong trường hợp đó, chi phí thường được chuyển cho người tiêu dùng – hoặc về phía người dùng.

“Chi phi thường chiến thắng, và chúng ta thường muốn sản phẩm rẻ hơn,” Balmas nói.

Nhưng tất cả không bị mất khi bảo mật các thiết bị IoT. Các công ty đang chuyển sang các giải pháp ngoài mật khẩu để xác thực. Ví dụ, Amazon đang xem xét việc kết nối các quầy thanh toán của mình trong các cửa hàng truyền thống với các phương thức nhận dạng sinh trắc học để nhắc khách hàng sử dụng lòng bàn tay để xác minh danh tính của họ, sẽ được liên kết với thẻ tín dụng hoặc thẻ ghi nợ. Một bước tích cực khác là IoT Security Rating Program sáng lập bởi UL, trước đây là Underwriters Laboratories. UL Verified Mark sẽ cảnh báo người tiêu dùng về các rủi ro và tiêu chuẩn bảo mật liên quan đến một loạt các thiết bị IoT.

Các nhà sản xuất phải bảo mật nghiêm túc hơn trong giai đoạn phát triển và các công ty phải tận dụng các tùy chọn xác thực nâng cao khi chúng có sẵn. Cho đến lúc đó, sẽ tùy thuộc vào chính sách bảo mật của người dùng và công ty để đảm bảo các thiết bị IoT được an toàn. Điều này sẽ yêu cầu một bước đầu tiên đơn giản: ngay lập tức thay đổi mật khẩu mặc định thành thứ gì đó mạnh mẽ và độc đáo. Nếu chúng ta tiếp tục sử dụng mật khẩu yếu trên các thiết bị IoT, chúng ta sẽ đặt các mạng và dữ liệu của trước các nguy cơ.

Nguồn: https://securityintelligence.com/articles/will-weak-passwords-doom-the-internet-of-things-iot/

mũi tênCó thể bạn sẽ quan tâm: Khóa học IoT !