什麼是硬編碼密碼?
儘管有關網絡安全威脅上升以及如何避免這些威脅的討論永無止境,但一些開發人員仍在使用硬編碼密碼 。雖然使用它們可能很方便,但必須記住硬編碼密碼被認為是易受攻擊的。如果您是普通用戶,您可能對此類密碼一無所知。它們可以在各種設備上找到,例如打印機或路由器,軟件應用程序,固件等。因此,您可能正在使用具有硬編碼密碼的軟件或設備。這可能聽起來很混亂,但如果你繼續閱讀這篇博文,你可以找到更詳細的答案來解答什麼是硬編碼密碼 。此外,在文章中我們討論了為什麼硬編碼密碼會使系統和設備面臨風險,以及如果他們落入壞人手中會發生什麼。
Table of Contents
什麼是硬編碼密碼?
硬編碼密碼在源代碼中也稱為嵌入式憑據或純文本密碼。這些密碼可以硬編碼到硬件,固件,腳本,應用程序,軟件和系統中。通常情況下,它們在各種應用和設備,如醫療或發現物聯網 ( 物聯網 )的設備。它們也有多種用途,例如,應用程序到應用程序/應用程序到數據庫的通信,設置新系統,API或其他系統集成等。它們通常可以幫助開發人員更快地訪問他們的產品並完成工作更輕鬆。此外,硬編碼密碼可能會阻止普通用戶篡改產品代碼。
使用硬編碼密碼有什麼風險?
讓我們從許多應用程序或設備可以共享相同的硬編碼密碼開始。因此,猜測密碼可以使黑客能夠連接和控制使用相同密碼的所有其他設備或應用程序。不幸的是,猜測或學習嵌入式組合可能比您想像的要容易。許多開發人員在GitHub和網站上分享他們的代碼,卻沒有意識到這樣做可能會洩露明文密碼。當然,黑客也意識到這一點,所以在他們找到意外共享密碼之前可能只是時間問題。更不用說,各種惡意應用程序和工具可以強制執行應用程序或設備的密碼,因此將其嵌入源代碼始終是一種風險。
當黑客學習硬編碼密碼時會發生什麼?
這完全取決於網絡犯罪分子的想法以及他們設法獲得的密碼類型。例如,各種物聯網,醫療,移動和其他設備的硬編碼密碼可能允許黑客創建一個所謂的殭屍網絡 ,這是一組受攻擊者控制的受感染機器。此類網絡可用於DDoS ( 分佈式拒絕服務 )攻擊,提供垃圾郵件等. 如果獲得的嵌入式憑證屬於某些應用程序,則網絡犯罪分子可以使用它來獲取敏感用戶信息,開發人員的秘密等。
為了幫助您想像為什麼使用硬編碼密碼的應用程序和設備容易受到攻擊,我們希望介紹近幾年發生的一些事件,並通過嵌入式憑據提供便利。第一個是Mirai惡意軟件的創建,可能發生在2016年左右。它背後的黑客編程威脅來尋找易受攻擊的設備。每次檢測到這樣的機器時,惡意應用程序都會在使用已知嵌入式憑據的數據庫時試圖強制使用其硬編碼密碼。這使惡意軟件能夠創建一個龐大的物聯網設備殭屍網絡,如安全攝像頭和路由器。其中一個受害者是Krebs on Security網站,因此離線了好幾天。此外,Mirai還設法迫使許多其他熱門網站如Netflix以及俄羅斯五大銀行的網站下線。
2016年發生的另一起重大事件是Uber Breach 。再次,硬編碼的密碼和忘記他們的人應該受到指責。更準確地說,其中一位優步員工在GitHub上分享了包含明文密碼的應用程序源代碼,卻沒有意識到他讓優步客戶和其他員工都處於危險之中。其中一個黑客注意到了發布的源代碼,並認識到它可能呈現的機會。硬編碼的密碼允許他獲得優步訪問優步的亞馬遜網絡服務帳戶,該帳戶包含大約5700萬用戶的敏感信息和60萬優步驅動程序的駕駛執照號碼。該公司決定同意向黑客支付十萬美元,並決定不報告任何人發生的事情。儘管如此,後來才揭露真相,結果,公司不僅失去了很多錢,還失去了聲譽。
最近發生的與硬編碼密碼漏洞有關的事件發生在一家名為Cisco Systems的美國跨國科技集團。據報導,檢測到的弱點可能讓黑客能夠控制公司創建的服務和產品 。可悲的是,在修補漏洞後,該公司發現了更多可能被利用的漏洞 。因此,許多網絡安全專家認為硬編碼密碼的問題不會很快消失,這並不奇怪。
總而言之,即使我們知道使用具有嵌入式憑據的設備或應用程序可能存在風險,但我們並不總能避免它. 儘管如此,有一些方法可以降低使用含有硬編碼密碼的產品的風險。專家建議經常檢查補丁和更新,因為它們被釋放以處理各種缺陷或弱點,如硬編碼密碼。
