Considerando l'attacco Dyn DDOS che era possibile perché i dispositivi IoT hanno password predefinite scadenti, sarà un soluzione se la società che produce i dispositivi potrebbe generare password predefinite casuali per loro?
Queste password casuali possono essere stampate in una lettera all'interno della confezione del dispositivo.
Eliminare le password predefinite sarebbe un inizio. Ma le password predefinite non sono l'unico problema con questi dispositivi. Oltre a questo ovvio problema, abbiamo account non documentati che gli utenti non possono nemmeno cambiare, backdoors che potrebbero essere posizionati deliberatamente o lasciati accidentalmente per debugging, vulnerabilità contro CSRF, XSS, DNS hijacking e molto altro.
Uno dei motivi principali di questo caos sono i venditori che non sanno molto della sicurezza e che non si preoccupano veramente degli utenti che non conoscono e non si preoccupano di loro e desiderano anche avere il dispositivo più economico possibile. E finché nessuno che causerà questo problema sarà ritenuto responsabile di questo pasticcio e sentirà il danno che fanno agli altri, non migliorerà.
Fare in modo che i venditori ritengano che il problema possa effettivamente essere molto efficace. Ad esempio, l'influente rivista tedesca di computer ha fatto un sacco di test sui router negli ultimi anni e probabilmente anche grazie al successo pubblico dei produttori con impostazioni insicure ora probabilmente la maggior parte dei router venduti in Germania impone il cambiamento delle credenziali di accesso in primo luogo usa o non usa affatto le password predefinite e prenditi anche cura di vari altri problemi di sicurezza.
Leggi altre domande sui tag ddos default-password