默認密碼對于簡化生產(chǎn)流程或幫助系統(tǒng)管理員在網(wǎng)絡(luò)中輕松部署新設(shè)備非常有用。網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）強調(diào)，默認密碼也是公司和整個互聯(lián)網(wǎng)整體安全的禍害，應(yīng)該永遠消失。CISA 繼續(xù)打擊技術(shù)制造商使用的默認密碼。美國網(wǎng)絡(luò)安全局最近提供了一份新的"安全設(shè)計"指南，敦促軟件和硬件公司"主動"消除其產(chǎn)品中默認密碼被利用的風(fēng)險。 23-1461_SbDAlert_12142023_FBLKINTWR - 1200x628_0.png© 由 cnBeta.COM 提供

CISA 在最新指南中說，"1234"、"默認"甚至"密碼"等默認密碼經(jīng)常被惡意網(wǎng)絡(luò)行為者利用。不安全的密碼提供了對暴露在互聯(lián)網(wǎng)上的系統(tǒng)的初始訪問權(quán)限，也為上述惡意行為者在組織內(nèi)部橫向移動提供了肆虐和竊取敏感數(shù)據(jù)的途徑。

據(jù) CISA 稱，伊斯蘭革命衛(wèi)隊（IRGC）附屬組織等臭名昭著的威脅行為者已經(jīng)利用設(shè)置為"靜態(tài)默認"的密碼成功入侵了美國的關(guān)鍵基礎(chǔ)設(shè)施。該機構(gòu)發(fā)布最新警報的原因是"最近和正在發(fā)生的"威脅活動，以及"多年的證據(jù)"表明，依靠成千上萬的客戶更改密碼是不可能奏效的。

CISA 為設(shè)計新技術(shù)產(chǎn)品的制造商提供了以下兩條原則：

掌握客戶安全成果

建立組織結(jié)構(gòu)和領(lǐng)導(dǎo)力，以實現(xiàn)這些目標

技術(shù)公司必須取消軟件和設(shè)備中的默認密碼，為每種產(chǎn)品提供獨特的"設(shè)置密碼"，迫使用戶從一開始就選擇新的安全密碼。另一種可行的替代方法是加入"有時間限制"的密碼，這種密碼在設(shè)置過程完成后會自行失效，并需要更安全的驗證方法，如防網(wǎng)絡(luò)釣魚的多因素驗證（MFA）。

CISA 指出，企業(yè)還應(yīng)"確保"其業(yè)務(wù)結(jié)構(gòu)的安全，確保生產(chǎn)鏈中的每個環(huán)節(jié)都了解網(wǎng)絡(luò)安全問題的重要性。產(chǎn)品的設(shè)計、制造和交付必須默認內(nèi)置安全保障。行政領(lǐng)導(dǎo)還必須提供"激勵結(jié)構(gòu)"和適當?shù)馁Y源，以實現(xiàn)這些設(shè)計安全成果。

CISA 表示，通過在設(shè)計、開發(fā)和交付過程中執(zhí)行這兩項原則，軟件制造商將（有望）防止其產(chǎn)品中的靜態(tài)默認密碼被利用。該機構(gòu)致力于為技術(shù)行業(yè)提供更多的安全設(shè)計（SbD）警報，重點關(guān)注可在全球范圍內(nèi)顯著減少危害的供應(yīng)商決策。