image

'Fabrikant moet functies uitschakelen bij standaardwachtwoord'

maandag 15 februari 2016, 11:07 door Redactie, 5 reacties

Fabrikanten die apparatuur met een standaardwachtwoord leveren moeten alle functies uitschakelen totdat er een veilig wachtwoord is ingesteld. Daarvoor pleit de Britse beveiligingsonderzoeker Paul Moore. Moore werd recentelijk gevraagd om de installatie van VoIP-telefoons bij een bedrijf bij te wonen en zag hoe er werd besloten om het standaardwachtwoord niet meteen te wijzigen.

In dit geval zou een aanvaller, als er een kwaadaardige of gehackte website werd bezocht, de controle over de VoIP-telefoon kunnen overnemen. Hiervoor schakelde Moore twee collega's in, die één van de VoIP-telefoons naar een duur telefoonnummer lieten bellen, maar ook gesprekken konden ontvangen, doorzetten en opnemen, alsmede nieuwe firmware installeren en het toestel voor surveillance konden gebruiken.

"Veel fabrikanten leveren apparatuur zonder "standaard" security of staan het gebruik van onveilige wachtwoorden toe die een vals gevoel van veiligheid geven. Dat moet stoppen", stelt Moore. Hij pleit ervoor dat als fabrikanten het nodig vinden om apparatuur met standaardwachtwoorden te leveren, dan alle functionaliteit moet zijn uitgeschakeld tot er een veilig wachtwoord is ingesteld.

Reacties (5)
15-02-2016, 11:59 door [Account Verwijderd]
[Verwijderd]
15-02-2016, 15:21 door Anoniem
Een "veilig" wachtwoord is het wachtwoord dat de gebruiker willens en wetens heeft aangegeven te willen gebruiken.
M.a.w. de gebruiker heeft het standaard wachtwoord en evt. inlognaam vervangen.
De verantwoording ligt dan bij de gebruiker, dat deze een sterk wachtwoord gebruikt.
Op deze manier is het apparaat niet meer "beveiligd" met "admin/admin" oid.
15-02-2016, 15:34 door Anoniem
Door Ageless: En wie bepaalt wat een veilig wachtwoord is?

"Fabrikant moet functies uitschakelen bij standaardwachtwoord". Niet "Fabrikant moet functies uitschakelen bij onveilig wachtwoord".
15-02-2016, 15:54 door Anoniem
Maar als je dan niet ook het wijzigen van het wachtwoord onmogelijk maakt zolang het standaard password er op zit, schiet je daar natuurlijk per saldo ook weinig mee op. De hacker moet alleen na het inloggen even het wachtwoord veranderen om toch nog overal bij te kunnen...
15-02-2016, 21:35 door Anoniem
Door Anoniem: Maar als je dan niet ook het wijzigen van het wachtwoord onmogelijk maakt zolang het standaard password er op zit, schiet je daar natuurlijk per saldo ook weinig mee op. De hacker moet alleen na het inloggen even het wachtwoord veranderen om toch nog overal bij te kunnen...

Hoe moet hij dat doen als het apparaat noch niet voldoende 'functioneert' om verbinding te maken?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.