Urządzenia wchodzące w skład Internetu Rzeczy (IoT) często posiadają standardowe hasła, które pozwalają użytkownikom na pierwsze logowanie do paneli administracyjnych podczas konfiguracji. Niestety, wielu użytkowników nie zmienia tych haseł na unikalne, co stanowi poważny problem.
Ryzyko związane z niezmienianiem domyślnych haseł
Metody stosowane przez hakerów stają się coraz bardziej zautomatyzowane. Cyberprzestępcy wykorzystują ataki typu brute-force, używając narzędzi, które bardzo szybko przeszukują kombinacje nazw użytkowników i haseł, aż do znalezienia właściwej. Wyobraźmy sobie, że miliony urządzeń IoT działają na domyślnych hasłach, które nigdy nie zostały zmienione. Zasięg potencjalnych ataków staje się wtedy ogromny.
Kolejną kwestią jest łatwość odgadnięcia domyślnych haseł. Raport firmy Bulletproof z 2022 roku ujawnił, że badacze cyberbezpieczeństwa, konfigurując serwery z domyślnymi hasłami i wykorzystując je jako honeypoty, zanotowali, że najczęściej używane kombinacje to:
- Nazwa użytkownika: knockknockwhosthere
- Hasło: pukknockwhosthere
oraz:
- Nazwa użytkownika: user
- Hasło: 1234
W obu przykładach wyraźnie widać, że nie zawierają one żadnych trudnych do odgadnięcia, losowych ciągów znaków. W cyberbezpieczeństwie często wykorzystuje się pojęcie entropii hasła, które odnosi się do losowości i nieprzewidywalności elementów składających się na hasło. Im wyższa entropia, tym bezpieczniejsze hasło.
Nawet amator-haker próbujący włamać się do urządzenia IoT bez użycia zautomatyzowanych narzędzi, mógłby z dużym prawdopodobieństwem osiągnąć sukces, próbując użyć haseł podobnych do tych z powyższych przykładów.
Które urządzenia IoT posiadają hasła?
Prognozy statystyczne wskazują, że do roku 2030 na świecie będzie ponad 29 miliardów urządzeń IoT. Najlepszą praktyką w zakresie cyberbezpieczeństwa jest założenie, że większość urządzeń podłączonych do sieci, zwłaszcza tych, które gromadzą i przesyłają dane osobowe, jest chroniona hasłem.
Warto aktualizować oprogramowanie inteligentnego głośnika, aby zapewnić lepszą ochronę przed hakerami. Ale czy zmieniono również domyślne hasła? Jeśli nie, cyberprzestępcy mogą uzyskać dostęp do sieci domowej i wszystkich podłączonych do niej urządzeń.
Raport Cybernews, badając około 3,5 miliona kamer IP podłączonych do internetu, wykazał, że producenci 127 000 tych urządzeń zalecali zmianę domyślnych haseł, ale nie wymagali tego od użytkowników.
Niezależnie od tego, czy korzystamy z elektronicznej niani, ekspresu do kawy, czy odtwarzacza muzyki IoT, powinniśmy zawsze zakładać, że istnieje domyślne hasło, które należy zmienić. Powinniśmy to zrobić przed pierwszym użyciem urządzenia lub podłączeniem go do sieci Wi-Fi.
Sprawdzenie haseł w urządzeniach IoT
Domyślne hasła są wygodne przy pierwszym logowaniu, ale jednocześnie stanowią poważne zagrożenie dla cyberbezpieczeństwa. Na szczęście zmiana tych danych uwierzytelniających jest bardzo prosta i zajmuje tylko kilka minut.