با پیشرفت تکنولوژی و کاهش هزینه اتصال قطعات الکترونیکی به اینترنت، داشتن یک Smart Home یا خانه هوشمند هم ارزانتر شده است. حسگرهایی که در سراسر خانه و لوازم خانگی نصب میشوند، به صاحبان خانه اجازه میدهند تا از راه دور عملکردهای خانه را پایش و مدیریت کنند. اما طبق تحقیقات Ali & Awad، بزرگترین خطر برای خانه هوشمند، دسترسی غیرمجاز به سیستم آن است. در این مقاله، درباره Credential Stuffing و راههای محافظت از خانه هوشمند صحبت میکنیم.
Credential Stuffing چیست؟
با انتشار میلیاردها رمز عبور بهصورت متن ساده در دسترس عموم، حملات Credential Stuffing برای دسترسی غیرمجاز به سیستمهای خانه هوشمند رایجتر و موفقتر شدهاند. این حمله نوعی Brute Force Attack است که در آن هکرها از رمزهای عبور دزدیدهشده استفاده میکنند. اما با کنترلهای امنیتی میتوان این خطر را کاهش داد. باید مطمئن شویم که احراز هویت در خدمات خانه هوشمند امن است و کاربران از رمزهای عبور خود به شیوهای امن و هوشمندانه استفاده میکنند.
ما به تمرینهای بهتر Cybersecurity نیاز داریم، چون صاحبان خانههای هوشمند بهویژه در برابر این تهدید آسیبپذیرند.
خانه هوشمند را بشناسیم
خانه هوشمند سه بخش اصلی دارد: داخلی (Indoor)، خارجی (Outdoor) و دروازه (Gateway). هنگام ارزیابی خطرات، باید این سه بخش را در نظر بگیریم. یک بخش کلیدی در معماری خانه هوشمند، لایه برنامه (Application Layer) است که اگر هک شود، کنترل همه دستگاههای متصل را به دست هکر میدهد.
محققان Ali & Awad با استفاده از چارچوب OCTAVE، دسترسی غیرمجاز را بزرگترین ریسک سایبری خانه هوشمند شناسایی کردند. همچنین Rehman & Manickam میگویند حمله Masquerading (جعل هویت) خطرناکترین تهدید است. این حمله میتواند از شکافهای امنیتی برنامهها، دور زدن احراز هویت یا استفاده از رمزهای دزدیدهشده باشد که به آن Credential Stuffing میگویند.
تهدید دسترسی غیرمجاز
اخیراً بیش از یک میلیارد نام کاربری و رمز عبور در اینترنت پخش شده که به نام Collection شناخته میشود. این مجموعه داده، خطر بزرگی برای خانههای هوشمند است. هکرها میتوانند با این اطلاعات، رمزهای قدیمی اما هنوز استفادهشده را پیدا کنند. این دادهها از نشتهای قبلی بهصورت متن ساده در دسترس قرار گرفتهاند.
شرکتها برای محافظت از کاربران در برابر استفاده مجدد از رمزهای قدیمی یا مشابه آنها تلاش میکنند، اما این مشکل همچنان پابرجاست. Nest، یک ارائهدهنده بزرگ دستگاههای خانه هوشمند که متعلق به Google است، بهخاطر قفل کردن حساب کاربران تا زمان تغییر رمز (در صورت یافتن رمز در دادههای نشتشده) مورد تحسین جامعه امنیتی قرار گرفته است.
چگونه از خانه هوشمند محافظت کنیم؟
هرچند نمیتوانید کنترل کاملی بر امنیت احراز هویت ارائهدهندگان فناوری خانه هوشمند داشته باشید، اما خودتان میتوانید لایههای امنیتی اضافه کنید:
- انتخاب فناوری امن: فقط از دستگاههایی استفاده کنید که کنترلهای امنیتی مثل Two-Factor Authentication (2FA) یا احراز هویت دو مرحلهای دارند. بسیاری از شرکتها این گزینه را ارائه میدهند، ولی بهصورت پیشفرض فعال نیست.
- فعال کردن 2FA: این کار خطر دسترسی غیرمجاز را بهشدت کاهش میدهد. هر جا ممکن است، آن را فعال کنید.
- مدیریت رمزها: از سیاستهای ساده مثل عدم استفاده مجدد از رمزها و ذخیره امن آنها استفاده کنید. Haber & Hibbert پیشنهاد میکنند از Password Manager برای مدیریت رمزهای منحصربهفرد استفاده کنید.
- رمزهای پیچیده: رمزهای خانه هوشمند باید فراتر از حداقل پیچیدگی موردنیاز سرویسها باشند.
- ابزار Google: افزونه Password Checkup در Google Chrome به شما هشدار میدهد اگر از ترکیبی از نام کاربری و رمز عبور نشتشده استفاده کنید.
چرا این موضوع مهم است؟
بزرگترین خطر برای کاربران خانه هوشمند، دسترسی غیرمجاز است. با نشتهای مکرر و در دسترس بودن دادههای قدیمی، Credential Stuffing بهدلیل نیاز به مهارت فنی کم، موفقیت بالا و افزایش دسترسی به دادههای نقضشده، تهدید اصلی است.
ترکیب کنترلهای فنی مثل Password Managers، فعال کردن 2FA و ابزار Password Checkup گوگل با سیاستهای مدیریتی مثل عدم استفاده مجدد از رمزها، خطر داشتن خانه هوشمند را بسیار کاهش میدهد.
این اقدامات نهتنها برای خانه هوشمند، بلکه برای همه خدماتی که نیاز به احراز هویت دارند، مفیدند.
آینده خانه هوشمند
صنعت خانه هوشمند در حال رشد است، چون افراد معلول و سالمند ارزش اتوماسیون را برای استقلال بیشتر درک کردهاند. تحلیل دادههای خانه هوشمند هم هزینههای مالکیت خانه را کاهش میدهد، مثلاً با صرفهجویی در هزینههای متغیر مثل گرمایش و سرمایش.
Credential Stuffing چیز جدیدی نیست، اما با ادامه نشت دادهها، این خطر برجستهتر میشود. با اقدامات امنیتی درست، میتوانید از خانه هوشمندتان لذت ببرید بدون اینکه نگران هکرها باشید!
منبع: iotforall