Lösungen zur IoT-Sicherheit - Teil 1 - Keine universellen Standard-Passwörter

Cybersicherheit ist nicht länger ein Feature, über das große Unternehmen gerne einmal nachdenken. Sie ist insbesondere für Embedded- und IoT-Produkte unerlässlich. ETSI hat gerade eine neue Vorschrift für das sichere Design von IoT- und verwandten Produkten veröffentlicht, und CEPD stimmt dieser Veröffentlichung vorbehaltlos zu.

(Bildquelle: CEPD)

Mit der Verbreitung und Popularität von IoT-Produkten, war es nie ein besserer Zeitpunkt, um sich über einige der üblichen IoT-Sicherheitsprobleme zu informieren. Dieser Artikel ist Teil einer Serie, die sich mit IoT und eingebetteter Sicherheit beschäftigt. Es werden häufige Probleme diskutiert und mögliche Lösungswege aufgezeigt. Am Ende hoffen wir, dass wir alle ein bisschen mehr über die Sicherheit bei der Verwendung und dem Design von IoT-Geräten nachdenken.

Standard-Passwörter

Ein Großteil der IoT-Geräte verwendet ein universelles Standardpasswort, z. B. „admin“, „1234“, „user“ usw. Erschwerend kommt hinzu, dass viele Benutzer ihre Passwörter nie vom Standard abändern. Damit hat jeder, der diese Standard-Passwörter kennt, vollen Zugriff. Die potenzielle „Hacker“-Bevölkerung ist jeder, der das Produkt ebenfalls gekauft oder über das Produkt gelesen hat. Unnötig zu sagen, dass dies eine ziemlich große Gruppe potenzieller Hacker ist, die nun das Passwort Ihres Geräts kennen.

Mögliche Lösungen

Als Entwickler ist es verlockend, ein Passwort einfach hart in die Codebasis des Produkts zu codieren. Allerdings überwiegen die Risiken bei weitem den Nutzen. Glücklicherweise gibt es Design-Entscheidungen, die getroffen werden können, um das IoT-Gerät besser zu sichern.

Erzeugung von Zufallszahlen

Beim ersten Einschalten könnte das IoT-Gerät eine Zufallszahl als Passwort generieren. Dies könnte dann über einen sicheren Weg mit dem Endbenutzer geteilt werden. Da dieses Kennwort zufällig ist, besteht eine geringe Wahrscheinlichkeit, dass ein anderes Gerät dasselbe Kennwort verwendet.

Die Erzeugung von Zufallszahlen ist sowohl über Hardware als auch über Software möglich. Komponenten, wie z. B. das MIKROE-4090 von MikroElektronika, erzeugen eine echte Zufallszahlenfolge. Außerdem bieten viele moderne Prozessoren und Mikrocontroller Peripherie für entweder echte oder Pseudo-Zufallszahlen. Und darüber hinaus bieten C und C++ Pseudo-Zufallsfunktionen durch die Verwendung von vorkompilierten Bibliotheken (https://www.geeksforgeeks.org/generating-random-number-range-c/).

Der Punkt ist, dass es heutzutage eine Menge Möglichkeiten gibt, eine Zufallszahl zu generieren. Wenn Sie diese Funktion zu Ihrem IoT-Gerät hinzufügen, vermeiden Sie das universelle Standard-Passwort-Dilemma und zeigen, dass Ihr Produkt wirklich einen Schritt weiter ist als andere.

Kennwortänderung verlangen

Wenn Zufallszahlen ein bisschen zu aufwendig sind, lassen Sie den Benutzer als ersten Schritt das Passwort ändern. Bevor das IoT-Gerät das tut, wofür es gemacht wurde, muss der Benutzer aufgefordert werden, sein eigenes benutzerdefiniertes Passwort einzugeben. Dies ist eine geringe Belastung für den Benutzer, und die 30 bis 60 Sekunden, die Sie für diesen Schritt benötigen, werden sich auszahlen, da sie die Sicherheit des Benutzers und den Ruf Ihres Produkts schützen.

Begrenzen Sie die Anzahl der Fehlversuche

Regeln, wie z. B. das Zulassen von nur fünf falschen Passwörtern innerhalb eines 3-Minuten-Zeitraums, können Ihr IoT-Produkt widerstandsfähiger gegen automatisierte Angriffe machen. Beachten Sie, dass der größte Teil des „Hackings“ von Maschinen durchgeführt wird, die schnell versuchen, ein Passwort zu erraten. Wenn Ihr IoT die Passworteingabe verzögert, dann wird es nicht die am niedrigsten hängende Frucht sein, die Hacking-Quelle wird frustriert sein und wahrscheinlich von Ihrem Gerät weiterziehen. Dies allein ist natürlich nicht ausreichend, aber in Verbindung mit einer der vorherigen Empfehlungen kann es sehr wirkungsvoll sein.

Diese Problemstellungen und Empfehlungen stammen aus der Arbeit von ETSI. Ihre Veröffentlichung ETSI EN 303 645 v2.1.1 (2020 - 06) kann für alle diese Punkte herangezogen werden.

Weitere Artikel/Blogbeiträge zur IoT-Sicherheit werden folgen, also schauen Sie bitte bald wieder vorbei