在野外,漏洞不仅会被高级攻击或复杂的恶意软件利用,有时还源于默认密码等简单问题。尽管网络安全专家多年来一直发出警告,但许多系统仍然依赖默认凭据,这就给攻击者留下了一个非常容易攻击的目标。为了应对这些风险,美国网络安全和基础设施安全局(CISA)在其 "安全设计"(Secure by Design)框架内制定了指导方针,敦促公司放弃默认设置,从根本上建立更安全的系统。
为什么默认密码是一种威胁
制造商在生产过程中会预先配置默认密码,以简化用户的初始设置。然而,这些凭据通常比较简单,而且在许多设备上都相同,因此很容易成为攻击目标。攻击者很容易利用这一弱点,只需使用容易猜到的默认凭据或使用能快速破解密码的程序,就能访问系统,从而破坏宝贵的数据。
公开提供的凭证:许多默认密码都公开记录在用户手册中,或可在网上轻松搜索到,因此恶意行为者无需复杂的黑客技术就能绕过身份验证。
统一访问:如果不更改默认密码,攻击者就可以在多个系统中扩大攻击范围,从单个弱点进入整个网络。
供应链风险:在供应链中使用默认密码的产品尤其容易受到攻击,因为在系统到达最终用户之前,这些薄弱环节就可能被利用,从而放大了漏洞风险。
使Avant 与 CISA 的 "设计安全原则 "保持一致
CISA 的 "设计安全 "计划强调,安全不应是事后才考虑的问题,而应该从一开始就将其纳入软件和系统。以下是我们如何在Avant 构建系统以支持这一愿景:
从一开始就确保身份验证安全
Avant 在账户建立之初,我们就优先考虑强大、独特和受保护的凭证。这意味着我们
- 为每个新账户设置唯一密码。
- 要求首次使用时立即更改密码,确保用户不会使用默认凭据进行操作。
- 实施密码强度检查,确保所有新凭证符合严格的安全标准。
减轻用户负担
CISA 的指导方针鼓励在保持安全性的同时降低用户的复杂性。为了与 "安全设计原则 "保持一致,Avant :
- 通过实施可执行最佳实践的自动密码策略,避免依赖用户手动重置或更新密码。
- 使用密码生成器为每个账户安全地创建新的唯一密码。
- 要求并强制所有团队成员使用密码管理器,以确保内部系统凭证的安全存储。
前进之路
虽然消除默认密码是 "安全设计 "方法的关键一步,但我们必须考虑未来的身份验证。我们正在与学校合作,在组织支持的地方为我们的系统实施单点登录。这将有助于消除密码疲劳,方便使用我们的产品。通过关注更安全的身份验证形式,我们可以更好地保护用户及其数据。
Avant设计安全承诺
Avant 致力于遵守最高的网络安全标准。作为 "安全设计 "承诺的一部分,我们正在所有平台上逐步淘汰默认密码的使用,实施强大的密码策略,并鼓励多因素身份验证。我们还在展望未来的网络安全形势,探索无密码身份验证解决方案等未来选择,以进一步提高我们系统的安全性和便利性。
通过采取这些措施,我们可以更好地保护用户免受常见和新出现的威胁,同时提供他们所期望的无缝体验。保持安全不仅仅意味着对事件做出反应,还意味着从一开始就积极主动。
有关Avant网络安全承诺的更多信息,请查看下面的相关文章。
