As passwords padrão são muito cómodas para a instalação rápida de dispositivos de rede, mas também são um sério problema de cibersegurança para as empresas e para a Internet num todo. Por isso, a Cybersecurity and Infrastructure Security Agency (CISA), que que deixem de ser usadas de uma vez por todas.
A agência publicou recentemente um manual de boas práticas para os fabricantes de hardware e software para redes eliminarem proactivamente os riscos da utilização de passwords padrão nos seu produtos.
Segundo a CISA, passwords padrão como ‘1234’, ‘default’ ou ‘password’ são exploradas muito facilmente por atacantes. Estas credenciais inseguras são um ponto de acesso inicial a dispositivos questão ligados à Internet e uma forma fácil para se moverem lateralmente dentro de uma rede de uma organização para sabotagem ou roubo de informação.
A CISA diz que organizações como os grupos afiliados com os Islamic Revolutionary Guard Corps (IRGC), têm sido bem-sucedidas no comprometimento de infraestruturas críticas nos Estados Unidos através da exploração de passwords que ficaram sem ser alteradas desde que os componentes de rede foram instalados. A agência publicou este aviso devido à exploração recente deste problemas de segurança e por anos de evidências que indicam que confiar nos utilizadores para mudarem as passwords padrão não funciona.
A CISA definiu duas regras para melhorar a segurança das redes ligadas à Internet:
Os fabricantes têm de eliminar as passwords padrão do seu software e hardware. Essas passwords podem ser substituídas por ‘credenciais de instalação e configuração’ para forçar os utilizadores a definirem uma nova password segura logo desde o primeiro momento. Outra solução pode passar pela utilização de passwords com prazo de validade, que se apagam sozinhas assim que termina o processo de configuração do dispositivo. A partir desse momento, o dispositivo deve começar a exigir métodos de autenticação mais fortes, como os que usam vários factores.
As empresas fabricantes também devem melhorar a segurança das suas infraestruturas. Cada passo do processo de fabrico deve ter em conta a importância da cibersegurança. Os produtos devem ser desenhados, fabricados e entregues com segurança incluída. Nas empresas, os decisores também devem incentivar e alocar recursos às estruturas para garantirem a segurança.
A CISA indica que através da implementação destas duas regras no desenho, desenvolvimento e entrega, os fabricantes podem prevenir a exploração das passwords padrão dos seus produtos.