Dois-je utiliser un mot de passe différent sur chaque appareil IoT?

13

Selon cmswire.com , l'un des principaux risques pour la sécurité de l'Internet des objets est l'authentification / autorisation insuffisante. En ce qui concerne l'Internet des objets, dois-je utiliser un mot de passe différent pour chacun de mes appareils, ou est-il acceptable de proposer un mot de passe très sécurisé à utiliser sur tous mes appareils?

Plus précisément, si j'ai acheté plusieurs itérations du même appareil, dois-je proposer un mot de passe différent pour chacun?

anonyme2
la source

Réponses:

10

De nombreux fournisseurs ont de mauvaises pratiques de sécurité et expédient tous leurs appareils avec un mot de passe par défaut identique (ce qui est plus facile que de programmer et d'étiqueter chaque appareil avec un mot de passe unique ou d'imposer un changement de mot de passe avant de pouvoir l'utiliser). Lorsque de tels appareils sont accessibles en ligne, il devient trivial de les trouver et d'utiliser ces informations d'identification par défaut pour en abuser à grande échelle.

Le fait que vous vous efforciez de modifier le mot de passe par défaut est déjà suffisant pour contrecarrer une grande partie de cet abus potentiel, presque indépendamment de la force réelle du mot de passe que vous sélectionnez.

Puis-je trouver un mot de passe très sécurisé à utiliser sur tous mes appareils?

Réutiliser le même mot de passe dans de nombreux endroits est universellement une mauvaise idée.

Le principal problème est qu'une bonne sécurité est difficile et vous ne pouvez pas vraiment dire de l'extérieur si votre très bon mot de passe sera correctement sécurisé ou non, du moins pas jusqu'au moment où il devient clair que la sécurité a échoué, ou qu'il n'y a jamais eu toute sécurité en premier lieu.

Par exemple, même le meilleur mot de passe au monde est inutile si l'appareil / l'application / le site Web remet effectivement ce mot de passe, en texte clair, lorsqu'il est demandé correctement. Il serait particulièrement mauvais que ce mot de passe puisse ensuite être utilisé pour déverrouiller de nombreux autres appareils / applications / sites / secrets.

Si vous n'avez pas déjà de gestionnaire de mots de passe et que vous ne voulez pas non plus, le simple étiquetage des appareils avec un mot de passe unique est assez efficace et sécurisé contre les attaques numériques, tout comme un ordinateur portable à l'ancienne.

HBruijn
la source
1
Excellente réponse, je voudrais simplement ajouter une raison de plus pour ne pas réutiliser les mots de passe - différents modèles de sécurité des appareils. Par exemple, je veux partager le mot de passe pour le routeur WiFi avec tous les invités, tandis que je veux garder le mot de passe Smart TV juste pour moi
K.Steff
5

L'utilisation de mots de passe différents pour différents appareils n'améliore pas la sécurité à grande échelle. Cela peut être utile si quelqu'un a besoin de s'introduire dans tous vos appareils, un par un.

Mais dans la plupart des cas, la violation de la sécurité se fait via l' appareil le plus faible de vos appareils, et dans la plupart de ces cas, l'appareil lui-même est la vulnérabilité, pas le mot de passe.

Dans la vraie vie, il est vraiment difficile de mémoriser beaucoup de mots de passe (bien sûr, nous pouvons utiliser un gestionnaire de mots de passe) et ces mots de passe forts sont encore plus difficiles à retenir.

L'utilisation d'un mot de passe fort peut vous aider dans une certaine mesure, mais le vrai problème de sécurité n'est pas votre mot de passe!

ThisaruG
la source
4

Étant donné que vous devez utiliser de longs mots de passe aléatoires, ce qui n'est vraiment pratique que si vous utilisez un gestionnaire de mots de passe, il n'y a pas beaucoup de frais supplémentaires pour utiliser différents mots de passe sur chaque appareil.

En pratique, l'avantage national obtenu est probablement assez minime. Cependant, si vous réutilisez des mots de passe sur votre domaine local, tout appareil faible donne accès à tous les autres. Par exemple, le verrou Noke a / avait une vulnérabilité non corrigée en 2016, où l'échange de clés en direct a révélé qu'il s'agissait d'une clé privée (bien que celle-ci soit générée en interne, et non fournie par un utilisateur).

Ce qui est essentiel, c'est que vos appareils IoT ne partagent pas vos mots de passe de communication.

Sean Houlihane
la source