在野外,漏洞不仅会被高级攻击或复杂的恶意软件利用,有时,它们源于诸如默认密码之类的简单问题。尽管网络安全专家已经警告了多年,但许多系统仍然依赖默认凭证,为攻击者提供了一个非常容易的目标。为了解决这些风险,美国网络安全和基础设施安全局(CISA)在其Secure by Design框架内提出了指导方针,敦促公司摒弃默认设置,从底层构建更安全的系统。
为什么默认密码是个威胁
默认密码是制造商在生产过程中预设的,以简化用户的初始设置。然而,这些凭证,通常简单且在许多设备中相同,可能成为易攻击的目标。攻击者可以轻易利用这个弱点,仅通过使用容易猜测的默认凭证或使用可以快速破解密码的程序,就能获得对系统的访问权限,从而危害宝贵的数据。
公开可用的凭证:许多默认密码在用户手册中公开记录,或者可以轻易在网上搜索到,这使得恶意行为者无需复杂的黑客技术就能绕过身份验证。
访问的统一性:当默认密码未被更改时,攻击者可以扩大他们在多个系统中的努力,通过一个薄弱点获得对整个网络的访问权限。...
供应链风险:在供应链中使用默认密码的产品特别容易受到攻击,因为这些弱点可能在系统到达最终用户之前就被利用,从而放大了发生违规行为的风险。
将Avant与CISA的“安全设计”原则对齐...
CISA的Secure by Design倡议强调,安全性不应该是事后考虑的问题,而应该从软件和系统的最初设计就内置其中。以下是我们在Avant如何构建我们的系统以支持这一愿景:
从一开始就确保...的身份验证安全
Avant正在优先考虑在账户初始阶段使用强大、独特且保护良好的凭证。这意味着我们正在:
- 实施唯一密码对于每个新账户。
- 要求在首次使用时立即更改密码,确保用户不使用默认凭证。
- 实施密码强度检查以确保所有新的凭证符合严格的安全标准。
减轻用户的负担
CISA的指导方针鼓励在保持安全性的同时,减少用户的复杂性。为了与Secure by Design Principles保持一致,Avant正在:
- 通过实施自动密码策略来执行最佳实践,避免依赖用户手动重置或更新密码。
- 使用密码生成器来创建新的和独特的密码,以安全地为每个账户设置密码。
- 要求并强制我们所有团队成员使用密码管理器,以确保我们的内部系统的凭证安全存储。
前进的路径
在采用安全设计方法时,消除默认密码是关键步骤,但我们必须考虑对认证进行未来化处理。我们正在与学校合作,为支持此功能的组织实施单点登录我们的系统。这将有助于消除密码疲劳的负担,简化我们产品的使用。通过关注更安全的身份验证形式,我们可以更好地保护我们的用户及其数据。
Avant的Secure by Design承诺
Avant致力于遵守最高的网络安全标准。作为我们的“安全设计”承诺的一部分,我们正在逐步淘汰所有平台上的默认密码,实施强密码策略,并鼓励使用多因素认证。我们也在关注网络安全形势的发展,并探索诸如无密码认证等未来选项,以进一步提高我们系统的安全性和便利性。
通过采纳这些措施,我们的用户可以更好地防范常见和新兴的威胁,同时提供他们期望的无缝体验。保持安全不仅仅意味着对事件做出反应——它意味着从一开始就要积极主动。
查看下方的相关帖子,了解更多有关Avant对网络安全承诺的信息。
