• 發布單位:TWCERT/CC
• 更新日期:2023-12-27
• 點閱次數:184

美國資安主管機關網路安全暨基礎設施安全局（Cybersecurity and Infrastructure Security Agency, CISA）日前發布資安指引，要求各科技製造廠停止在各種裝置與軟體系統中提供預設密碼，以提升資安保護層級。

資安專家指出，為了簡化生產與大量軟硬體裝置的管理與操作流程，很多製造廠商經常在其企業或生產環境中使用各種裝置或軟體系統的預設密碼；這種做法雖然能夠大幅降低操作的複雜性，但卻會造成極大的資安風險。

一旦駭侵者利用往往廣為人知的預設密碼發動攻擊，除了採用預設密碼的設備或軟體本身可能遭到駭侵之外，駭侵者也可藉以發動進一步的攻擊，最後導致企業或單位的內部網路上其他設備與系統遭到攻擊得逞。

CISA 在其資安警訊中提出兩點要求，要求廠商必須對客戶可能發生的資安後果負起責任，同時必須在組織架構與領導兩方面來達成這個目標。

CISA 進一步指出，軟體開發廠商必須在設計、開發與出貨等階段嚴格落實上述要求，不提供產品的預設密碼，才能預防顧客因預設密碼而可能蒙受的攻擊損失。

CISA 說，多年以來的經驗證明，期待顧客在產品購入後變更預設密碼是不切實際的，因為顧客通常不會主動更改密碼；唯有在產品設計製造階段就消除預設密碼的存在，才能減少現今因未能更改預設密碼而導致的大量攻擊損失。

CISA 要求製造商須提供不重複的設定階段密碼，避免提供相同的預設密碼給顧客；製造商亦應提供單次有效密碼供顧客進行產品初次設定；一旦設定完成後，該密碼即行失效，無法再次用於登入。

CISA 也敦促各廠商應在流程上導引顧客使用多重登入驗證，以進一步保護軟體或裝置的登入安全。

各硬體設備或軟體系統廠商，建議可以參考 CISA 此次發布之資安指引，避免提供預設密碼，以強化使用者的資安防護能力。