Según cmswire.com , uno de los principales riesgos de seguridad con Internet de las cosas es la autenticación / autorización insuficiente. Cuando se trata de Internet de las cosas, ¿debería usar una contraseña diferente para cada uno de mis dispositivos, o está bien encontrar una contraseña muy segura para usar en todos mis dispositivos?
Más específicamente, si he comprado varias iteraciones del mismo dispositivo, ¿debería encontrar una contraseña diferente para cada una?
Respuestas:
Muchos proveedores tienen malas prácticas de seguridad y envían todos sus dispositivos con una contraseña predeterminada idéntica (que es más fácil que programar y etiquetar cada dispositivo con una contraseña única o exigir un cambio de contraseña antes de que pueda usarse).
Cuando se puede acceder a dichos dispositivos en línea, resulta trivial encontrarlos y usar esas credenciales predeterminadas para abusar de ellos a escala.
El hecho de que haga un esfuerzo para cambiar la contraseña predeterminada ya es suficiente para frustrar una gran parte de ese posible abuso, casi independientemente de la fortaleza real de la contraseña que seleccione.
¿Está bien crear una contraseña muy segura para usar en todos mis dispositivos?
Reutilizar la misma contraseña en muchos lugares es universalmente una mala idea.
El problema principal es que una buena seguridad es difícil y no se puede saber desde el exterior si su contraseña realmente buena estará bien protegida o no, al menos hasta el momento en que quede claro que la seguridad falló, o nunca hubo cualquier seguridad en primer lugar.
Por ejemplo, incluso la mejor contraseña del mundo es inútil si el dispositivo / aplicación / sitio web entregará efectivamente esa contraseña, en texto claro, cuando se le solicite correctamente. Sería especialmente malo si esa contraseña se puede utilizar posteriormente para desbloquear muchos más dispositivos / aplicaciones / sitios / secretos.
Si aún no tiene un administrador de contraseñas y no quiere uno, simplemente etiquetar los dispositivos con una contraseña única es bastante efectivo y seguro contra ataques digitales, como lo es un portátil antiguo.
El uso de diferentes contraseñas para diferentes dispositivos no mejora la seguridad a gran escala. Puede ser de ayuda si alguien necesita ingresar y acceder a todos sus dispositivos, uno por uno.
Pero en la mayoría de los casos, la violación de seguridad se realiza a través del dispositivo más débil de sus dispositivos, y en la mayoría de los casos, el dispositivo en sí es la vulnerabilidad, no la contraseña.
En la vida real es muy difícil memorizar muchas contraseñas (por supuesto, podemos usar un administrador de contraseñas) y esas Contraseñas seguras son aún más difíciles de recordar.
El uso de una contraseña segura puede ayudarlo hasta cierto punto, ¡pero el verdadero problema de seguridad no es su contraseña!
Dado que debería usar contraseñas aleatorias largas, lo que no es realmente práctico a menos que use un administrador de contraseñas, no hay mucho gasto adicional para usar contraseñas diferentes en cada dispositivo.
En la práctica, la ventaja interna obtenida es probablemente bastante mínima. Sin embargo, si reutiliza las contraseñas en su dominio local, cualquier dispositivo débil da acceso a todos los demás. Por ejemplo, el bloqueo de Noke tiene / tuvo una vulnerabilidad sin parches durante 2016 donde el intercambio de claves por aire reveló que es una clave privada (aunque generada internamente, no una proporcionada por el usuario).
Lo crítico es que sus dispositivos IoT no compartan sus contraseñas de comunicaciones.