物聯(lián)網(wǎng)設備的安全性取決于其憑據(jù)的強度。根據(jù)Verizon最新的數(shù)據(jù)泄露調(diào)查報告，憑據(jù)是黑客最搶手的目標之一——領先于銀行、醫(yī)療和個人數(shù)據(jù)。當您考慮當今使用的大量數(shù)字帳戶和連接技術時，很容易理解為什么不法分子會發(fā)現(xiàn)憑證如此吸引人。更難理解的是，為什么公司繼續(xù)成為基于憑證的攻擊的受害者。隨著物聯(lián)網(wǎng)設備和系統(tǒng)變得越來越復雜，組織必須采取行動來彌補這一關鍵漏洞。了解并解決以下主要的憑證安全挑戰(zhàn)是第一步。

[[437812]]

默認密碼

到2029年，Gartner公司預計將有超過150億臺物聯(lián)網(wǎng)設備連接到企業(yè)基礎設施。雖然這種趨勢帶來了許多業(yè)務優(yōu)勢，但也帶來了新的與憑證相關的安全挑戰(zhàn)。直到最近，許多連接的設備都標配了默認密碼。2019年發(fā)貨的600,000臺GPS追蹤器就是這種情況，默認密碼為123456。這種糟糕的安全做法使客戶處于危險的境地，讓黑客可以輕松地監(jiān)視用戶、欺騙追蹤器的位置或攔截緊急情況打電話給家人或當局。此外，使用默認密碼也為制造商帶來了漏洞——例如，不法分子可能會劫持帳戶、更改密碼和鎖定客戶，從而導致客戶支持和經(jīng)銷商漏洞。

盡管隨著加利福尼亞州物聯(lián)網(wǎng)法的出臺，這一趨勢已經(jīng)開始改變，但在部署物聯(lián)網(wǎng)技術之前更新憑證仍然是一種很好的安全做法。此外，如果檢測到任何入侵跡象，公司必須持續(xù)監(jiān)控物聯(lián)網(wǎng)憑證的完整性，并采取自動響應措施。

糟糕的密碼實踐

憑證安全的另一個主要驅(qū)動因素是人們眾所周知的糟糕的密碼習慣。面對管理眾多在線帳戶和服務的憑據(jù)時，員工通常會創(chuàng)建簡單易記的密碼。此外，人們經(jīng)常在多個帳戶中重復使用相同的密碼或相同詞根的細微變化——例如，“P@ssword1”和“P@$$word1”。

這不是僅在入門級員工或在非技術領域工作的員工中會發(fā)現(xiàn)的問題。在最近的一項調(diào)查中，近四分之一的IT安全領導者承認在工作和個人站點上使用相同的密碼。如果這些憑據(jù)中的任何一個在先前的違規(guī)行為中被暴露，就類似于為黑客推出歡迎墊。這些不法分子可以通過暗網(wǎng)、破解字典和其他來源訪問大量已泄露密碼;他們使用它們滲透物聯(lián)網(wǎng)設備和企業(yè)系統(tǒng)只是時間問題。

新興的認證機制

另一個憑據(jù)安全挑戰(zhàn)是了解各種新興身份驗證機制的局限性，以確定使用哪些機制以及如何最好地部署它們。

• 多重身份驗證：MFA依賴額外的身份驗證因素來授予對帳戶的訪問權限，例如，將密碼與SMS文本消息代碼結(jié)合使用。從安全角度來看，MFA可能相對強大，具體取決于所使用的因素，但是，用戶通常會發(fā)現(xiàn)它很麻煩，并且在給定選項時不會主動啟用它。例如，微軟報告其企業(yè)云用戶中MFA的采用率僅為11%。

• 自適應身份驗證：自適應身份驗證交叉引用IP地址、地理位置、設備信譽和其他行為，從而為入站登錄和相應的升級因素分配風險評分。由于這些系統(tǒng)通常會積極調(diào)整以提高效率，因此它們通常會在不需要的情況下引入額外的身份驗證步驟——讓員工感到沮喪。

• 生物特征認證：生物特征被吹捧為憑證安全的靈丹妙藥，但我們不太可能在不久的將來看到廣泛采用生物特征。此外，當系統(tǒng)出現(xiàn)故障或變得不可用時，生物識別系統(tǒng)仍然使用基于后備密碼的機制。最后，生物識別技術也帶來了自身的安全挑戰(zhàn)。畢竟，員工無法更新他們的視網(wǎng)膜或指紋。

保護密碼層

正如上面所強調(diào)的，當談到物聯(lián)網(wǎng)憑證安全時，密碼層的安全是無可替代的。MFA和其他身份驗證策略當然有其一席之地，但除非公司能夠處理密碼安全問題，否則它們將繼續(xù)成為攻擊的受害者。那么，組織應該怎么做?

最具成本效益的方法之一是實施自動憑據(jù)篩選，在創(chuàng)建新密碼時和每天檢查密碼是否已泄露。這減輕了員工創(chuàng)建過于復雜密碼的責任，并幫助公司在不消耗大量IT資源的情況下消除密碼泄露的威脅。

員工可能是創(chuàng)建密碼的人，但憑證安全的責任最終在于組織。不良行為者將繼續(xù)將憑據(jù)作為攻擊手段，但通過正確的動態(tài)憑據(jù)篩選解決方案，公司可以保護密碼和敏感數(shù)據(jù)，同時成功抵御這些嘗試。