后一系列备受瞩目的黑客攻击,涉及到Ring家庭安全摄像头在美国,一些人发现,他们为了增加在家的安全感而购买的设备却适得其反:让他们感到不那么安全,有风险,甚至被侵犯,因为外人似乎毫不费力就劫持了这些设备。
我们正处于假日购物季,人们正在评估这样的设备。正因为如此,了解实际情况是很好的,这样你就可以做出明智的决定。
从科技行业的角度理解正在发生的事情也是很好的。对于设备制造商来说,所有公司——尤其是初创公司——都有经验教训,知道这类问题是如何发生的,以及可以做些什么来预防它们。
简而言之,这个行业对密码的依赖真的是自食其果。
亚马逊子公司Ring的声明告诉了我们关于这一事件我们需要知道的一切:
最近,我们注意到一个事件,恶意行为者从一个单独的、外部的、非Ring服务获取了一些Ring用户的帐户凭据(例如,用户名和密码),并重用它们来登录一些Ring帐户。不幸的是,当相同的用户名和密码在多个服务上重复使用时,不良行为者可能获得许多帐户的访问权限。
这个陈述和谷歌in中的陈述几乎相同2019年4月以应对影响他们Nest设备的一个几乎相同的问题。
这些说法如此相似,因为根本原因是相同的:为了便于使用,这些设备默认依赖密码。实际上,人们会经常重复使用密码。当我们谈论设备配置时,密码管理器几乎不可能使用,在除全尺寸键盘之外的任何设备上输入强密码都是不切实际的。当我们谈论密码和物联网设备时,我们有一场完美风暴,有效地导致了密码重用和/或弱密码的使用。
在一个数据泄露容易而普遍的时代,如果你重复使用一次密码,它就有被泄露的几率:去吧haveibeenpwnd.com自己检查一下。
这个问题变得更加严重,因为许多公司都希望通过将您的电子邮件地址作为您的登录地址来减少他们的帐户支持负担。这使得使用泄露的密码更加容易,因为攻击者拥有登录名和密码。
值得称赞的是,Ring和Nest都提供了双因素身份验证(2FA)选项。然而,任何做过“家庭技术支持”的人都知道,让非技术人员成功使用2FA是多么困难。
在安全领域,我们知道双因素身份验证作为一种合理的应对措施已经开始失败。越来越多的组织正在转向多因素身份验证(MFA)。如果你认为让你的父母使用2FA很难,那就试着让他们使用MFA,因为它现在已经实现了。
这一切在实际中意味着什么?这意味着,只要买家面临多种无法使用和不可行的安全选项之间的选择,这样的黑客攻击就会继续下去。
然而,公司,尤其是初创公司,有机会认识到目前家庭物联网设备的安全状态是无法忍受的,并寻求一种结合易用性和良好安全实践的新解决方案。
在这个问题得到解决之前,这样的情况将继续成为在家庭中采用物联网设备的障碍。
与此同时,对于你的假日购物,这个信息也同样明确。如果您想为自己或他人使用其中一种设备,您应该准备好投入时间和精力来学习并在其上实现尽可能强的安全性。
值得称赞的是,他们很容易就能找到在他们的设备上实现2FA的信息在这里.
遗憾的是,谷歌并没有使Nest 2FA信息容易找到,但谷歌将Nest帐户转移到谷歌帐户。你应该回顾谷歌2FA页面以了解如何保护您的谷歌帐户。
最后,当近2020年的技术依赖于1960年的安全措施时,就会发生这种情况。
12月16日星期一更新:环称将引入新的安全功能但该公司尚未说明这些举措的具体内容。
