Nieuws

'Fabrikant moet functies uitschakelen bij standaardwachtwoord'

maandag 15 februari 2016, 11:07 door Redactie, 5 reacties

Fabrikanten die apparatuur met een standaardwachtwoord leveren moeten alle functies uitschakelen totdat er een veilig wachtwoord is ingesteld. Daarvoor pleit de Britse beveiligingsonderzoeker Paul Moore. Moore werd recentelijk gevraagd om de installatie van VoIP-telefoons bij een bedrijf bij te wonen en zag hoe er werd besloten om het standaardwachtwoord niet meteen te wijzigen.

In dit geval zou een aanvaller, als er een kwaadaardige of gehackte website werd bezocht, de controle over de VoIP-telefoon kunnen overnemen. Hiervoor schakelde Moore twee collega's in, die één van de VoIP-telefoons naar een duur telefoonnummer lieten bellen, maar ook gesprekken konden ontvangen, doorzetten en opnemen, alsmede nieuwe firmware installeren en het toestel voor surveillance konden gebruiken.

"Veel fabrikanten leveren apparatuur zonder "standaard" security of staan het gebruik van onveilige wachtwoorden toe die een vals gevoel van veiligheid geven. Dat moet stoppen", stelt Moore. Hij pleit ervoor dat als fabrikanten het nodig vinden om apparatuur met standaardwachtwoorden te leveren, dan alle functionaliteit moet zijn uitgeschakeld tot er een veilig wachtwoord is ingesteld.

Samsung morgen voor rechter wegens Android-updates

AP ontdekt misstanden bij bescherming patiëntgegevens

Reacties (5)

15-02-2016, 11:59 door [Account Verwijderd]

[Verwijderd]

15-02-2016, 15:21 door Anoniem

Een "veilig" wachtwoord is het wachtwoord dat de gebruiker willens en wetens heeft aangegeven te willen gebruiken.
M.a.w. de gebruiker heeft het standaard wachtwoord en evt. inlognaam vervangen.
De verantwoording ligt dan bij de gebruiker, dat deze een sterk wachtwoord gebruikt.
Op deze manier is het apparaat niet meer "beveiligd" met "admin/admin" oid.

15-02-2016, 15:34 door Anoniem

Door Ageless: En wie bepaalt wat een veilig wachtwoord is?

"Fabrikant moet functies uitschakelen bij standaardwachtwoord". Niet "Fabrikant moet functies uitschakelen bij onveilig wachtwoord".

15-02-2016, 15:54 door Anoniem

Maar als je dan niet ook het wijzigen van het wachtwoord onmogelijk maakt zolang het standaard password er op zit, schiet je daar natuurlijk per saldo ook weinig mee op. De hacker moet alleen na het inloggen even het wachtwoord veranderen om toch nog overal bij te kunnen...

15-02-2016, 21:35 door Anoniem

Door Anoniem: Maar als je dan niet ook het wijzigen van het wachtwoord onmogelijk maakt zolang het standaard password er op zit, schiet je daar natuurlijk per saldo ook weinig mee op. De hacker moet alleen na het inloggen even het wachtwoord veranderen om toch nog overal bij te kunnen...

Hoe moet hij dat doen als het apparaat noch niet voldoende 'functioneert' om verbinding te maken?

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer