預設密碼對於簡化生產流程或幫助系統管理員在網路中輕鬆部署新設備非常有用。網路安全與基礎設施安全局（CISA）強調，預設密碼也是公司和整個網路整體安全的禍害，應該永遠消失。 CISA 繼續打擊技術製造商使用的預設密碼。美國網路安全局最近提供了一份新的”安全設計”指南，敦促軟體和硬體公司”主動”消除其產品中預設密碼被利用的風險。

CISA 在最新指南中說，”1234″、”預設”甚至”密碼”等預設密碼經常被惡意網路行為者利用。不安全的密碼提供了對暴露在互聯網上的系統的初始訪問權限，也為上述惡意行為者在組織內部橫向移動提供了肆虐和竊取敏感資料的途徑。

據 CISA 稱，伊斯蘭革命衛隊（IRGC）附屬組織等臭名昭著的威脅行為者已經利用設置為”靜態默認”的密碼成功入侵了美國的關鍵基礎設施。該機構發布最新警報的原因是”最近和正在發生的”威脅活動，以及”多年的證據”表明，依靠成千上萬的客戶更改密碼是不可能奏效的。

CISA 為設計新技術產品的製造商提供了以下兩個原則：

掌握客戶安全成果

建立組織結構和領導力，以實現這些目標

科技公司必須取消軟體和裝置中的預設密碼，為每種產品提供獨特的”設定密碼”，迫使用戶從一開始就選擇新的安全密碼。另一種可行的替代方法是加入”有時間限制”的密碼，這種密碼在設置過程完成後會自行失效，並需要更安全的驗證方法，如防網絡釣魚的多因素驗證（MFA） 。

CISA 指出，企業也應”確保”其業務結構的安全，確保生產鏈中的每個環節都了解網路安全問題的重要性。產品的設計、製造和交付必須預設內建安全保障。行政領導也必須提供”激勵結構”和適當的資源，以實現這些設計安全成果。

CISA 表示，透過在設計、開發和交付過程中執行這兩項原則，軟體製造商將（有望）防止其產品中的靜態預設密碼被利用。該機構致力於為科技產業提供更多的安全設計（SbD）警報，並專注於可在全球範圍內顯著減少危害的供應商決策。

了解更多：

https://www.cisa.gov/resources-tools/resources/secure-design-alert-how-manufacturers-can-protect-customers-eliminating-default-passwords