Kybernetická bezpečnost PSTI - defaultní login aktivních zařízení
FAQ: Kybernetická bezpečnost PSTI - defaultní login aktivních zařízení
V rámci zabezpečení síťových aktivních prvků v kontextu bezpečnostních standardů, existuje několik klíčových principů, které se dále v oblasti kybernetické bezpečnosti budou vyvíjet.
1. Bezpečné ukládání hesel
- Hesla by nikdy neměla být ukládána v prostém textu.
- Doporučuje se použití kryptografických hashovacích funkcí, jako je bcrypt, Argon2 nebo PBKDF2.
- Hesla by měla být ukládána se salt (unikátní náhodná hodnota přidaná k heslu před hashováním), aby se zabránilo útokům pomocí předpočítaných tabulek (rainbow tables).
2. Bezpečná správa hesel
- Použití silných hesel (minimálně 12–16 znaků, kombinace velkých a malých písmen, číslic a speciálních znaků).
- Doporučení správců hesel k ukládání a generování silných hesel.
- Ochrana proti útokům hrubou silou a slovníkovým útokům (např. omezení počtu pokusů o přihlášení, CAPTCHA, 2FA).
3. Dvoufaktorová autentizace (2FA)
- Přidání druhého faktoru autentizace (TOTP, SMS, hardware tokeny).
- FIDO2/WebAuthn jako moderní bezheslová alternativa.
4. Ochrana při přenosu hesel
- Použití TLS (Transport Layer Security) pro šifrování přenosu mezi klientem a serverem.
- Ověření integrity dat pomocí HMAC.
5. Detekce a prevence úniků hesel
- Implementace mechanismů jako Have I Been Pwned API pro kontrolu kompromitovaných hesel.
- Sledování neobvyklých pokusů o přihlášení.
PSTI (Product Security and Telecommunications Infrastructure) je legislativa zaměřená na kybernetickou bezpečnost připojených zařízení.
Jak PSTI souvisí se zabezpečením přihlašovacích hesel?
Jedním z klíčových požadavků PSTI je odstranění výchozích, snadno uhodnutelných hesel v IoT a dalších připojených zařízeních. To znamená, že:
- Výrobci nesmí používat univerzální hesla – například „admin/admin“ nebo „123456“.
- Uživatelé musí být vyzváni ke změně hesla při prvním použití.
- Zařízení by měla podporovat unikátní, silná hesla (generovaná pro každé zařízení individuálně).
- Musí být implementováno bezpečné ukládání hesel, aby se minimalizovala rizika útoků (hashování, šifrování).
Další bezpečnostní požadavky PSTI
- Výrobci musí poskytovat jasné informace o délce bezpečnostní podpory zařízení.
- Zavádí se povinnost oznamování zranitelností výrobcům a jejich rychlé řešení.
Mechanismus se zaměřuje hlavně na ochranu uživatelů před kybernetickými hrozbami u připojených zařízení, ale jeho principy lze rozšířit i na širší oblast správy přihlašovacích údajů.
Výrobce Planet (a postupně další) zohledňuje zmíněné požadavky u všech aktivních prvků s firmware novějším jak březen 2024 a zavádí unikátní defaultní login, který se skládá z písmen reprezentující skupinu zařízení (sw pro swicthe, apod) + posledních 6 znaků MAC adresy. Po prvotním přihlášení budete vyzváni ke změně hesla dle požadavků PSTI.
Tabulka PSTI login Planet zařízení:
