物联网安全基金会和 FIDO 联盟宣布合作消除物联网中的密码

12 1 月, 2021

发行日期： 一月5 2021

今天，物联网安全基金会（IoTSF）和FIDO联盟宣布，他们正在合作改善物联网安全状况。

此次合作的主要目的是提高人们对物联网设备密码局限性的认识，并为产品制造商提供实用的替代方案。合作的目标将通过联合消息传递和提供可公开访问的材料来实现，以帮助行业实施无密码身份验证。

密码有什么问题？

密码是一种传统的简单方法，用于对用户进行身份验证并允许访问资源。在过去，这可能已经足够了，但当数十亿台设备预计将连接到网络以收集和共享数据或提供自动化时，密码在许多方面都远远不够——这是物联网时代。

虽然这不是一个新问题，但用户仍然发现管理和跟踪不同的帐户和应用程序登录凭据是一个挑战。结果是许多人走捷径——使用易于记忆（和猜测）的密码，或在多个帐户中使用相同的密码¹. 这削弱了安全性。现在考虑一下越来越多的家庭、商业、医疗、工业和国家基础设施使用物联网，这些用途带来了效率、创新和用户利益。物联网设备无处不在，正如本文所说明的那样，这一趋势将继续下去。对于路由器和网络摄像头等物联网级产品，传统上制造商选择使用工厂通用默认密码² ，虽然这些密码可以更改，但仍有相当一部分仍设置为默认密码。这使它们成为僵尸网络的主要目标，僵尸网络将设备武器化以进行DDOS攻击，例如著名的Mirai及其许多变体。

这意味着设备的数量之多只会加剧当今密码遇到的问题。总之，密码不是现在或将来物联网身份验证要求的良好解决方案。

如何解决这个问题？

新标准和即将出台的法规正在帮助推动变革。 2020 年年中发布的 ETSI 303 645³ 消费者物联网网络安全标准基线要求，规定“无通用默认密码”，该标准现在被用作国际监管和认证计划的基础⁴.

虽然“无通用密码”是第⁵条的良好开端，但还远远不够。好消息是，密码有很好的替代品，因此可以消除它们，而且它们也更好、更易于使用。

IoTSF和FIDO联盟如何合作？

这两个组织将共同努力，促进对无密码认证形式的认识和使用，并将工作组活动联系起来，以确保行业在设计新产品时能够访问公开可用的材料。

FIDO联盟的物联网技术工作组旨在为物联网设备构建一个全面的认证框架，为无密码认证提供详细的技术规范。

物联网安全基金会为物联网系统的产品制造商和用户发布最佳实践网络安全建议。其物联网安全合规框架工作组致力于创建和维护该框架，该框架指导开发人员完成结构化的提问和证据收集过程。这有助于公司通过设计制造出具有安全性的更好产品。正是在这一领域，两个组织打算在技术层面进行合作，以补充密码替代方案的倡导。

IoTSF董事总经理John Moor表示：“在数字时代，使用密码来确保安全是一种过时和过时的安全做法。从技术角度来看，有些解决方案更强大，从用户的角度来看更好。我们很高兴与FIDO联盟密切合作，帮助消除密码的使用，并为我们的制造成员推动更好的实践。

FIDO联盟执行董事兼首席运营官Christina Hulka表示：“FIDO联盟的使命是通过更简单、更强大的身份验证来减少世界对密码的依赖，包括在物联网中，不幸的是，物联网继续依赖默认或弱密码身份验证。我们期待与物联网安全基金会合作，加速将无密码身份验证引入物联网的道路。

引用

¹ https://en.wikipedia.org/wiki/List_of_the_most_common_passwords
² https://www.router-reset.com/default-router-password-lookup
³ https://www.etsi.org/deliver/etsi_en/303600_303699/303645/02.01.00_30/en_303645v020100v.pdf
⁴ https://www.iotsecurityfoundation.org/consumer-iot/
⁵ https://www.gov.uk/government/news/government-to-strengthen-security-of-internet-connected-products

关于物联网安全基金会（IoTSF）

IoTSF是一个非营利性的企业和专业会员协会。

IoTSF 的使命是帮助保护物联网，以帮助其采用并最大限度地发挥其优势。为此，IoTSF将向指定、制造和使用物联网产品和系统的人员推广有关适当安全的知识和明确的最佳实践。

IoTSF 提倡安全第一方法的安全价值观、适用性和贯穿整个使用寿命的弹性。安全值针对物联网生态系统的关键阶段，即构建、购买和使用产品和服务的阶段：构建安全。购买 Secure。注意安全。

IoTSF 的成立是为了应对物联网应用中现有和新出现的威胁。

IoTSF 是一项国际性、协作性和供应商中立的成员计划，由物联网生态系统驱动，包括技术提供商和服务受益者在内的各方。

欲了解更多信息、新闻和进一步的公告，请访问官方网站 www.iotsecurityfoundation.org。

关于FIDO联盟

FIDO（快速身份在线）联盟（www.fidoalliance.org）成立于 2012 年 7 月，旨在解决强身份验证技术之间缺乏互操作性的问题，并解决用户在创建和记忆多个用户名和密码时遇到的问题。 FIDO 联盟正在通过更简单、更强大的身份验证标准改变身份验证的本质，这些标准定义了一套开放、可扩展、可互操作的机制，从而减少了对密码的依赖。在对在线服务进行身份验证时，FIDO 身份验证更强大、更私密、更易用。