Cómo verificar que la clave sea manejable y no esté codificada
1. ¿El proveedor ha contratado a un tercero para realizar auditorías del código fuente?
2. ¿Están los resultados de la auditoría disponibles para su revisión?
3. ¿Qué tan seguro es el programa de desarrollo de proveedores?
4. ¿El proveedor utiliza pruebas de penetración en sus productos?
5. ¿Tiene el proveedor la capacidad de recuperar el dispositivo si se pierde la contraseña?
El riesgo de seguridad específico que enfrenta una organización depende de cómo se utilizan las contraseñas, pero la forma en que se integran en el software que se entrega aumenta la probabilidad de que sean descubiertas por actores malintencionados.
Los desarrolladores necesitan ****disfrutar de credenciales para acceder y utilizar claves privadas para el cifrado y descifrado, y luego necesitan almacenar y ****disfrutar de forma segura estas contraseñas. Además, el software requiere acceso a otros sistemas e inicios de sesión. "Cuando las personas envían datos e interactúan con una base de datos, es natural exigir que la persona que envía los datos inicie sesión", señala Weber. Por lo tanto, los desarrolladores a menudo necesitan utilizar contraseñas codificadas en el software.
A veces, las contraseñas codificadas solo son útiles durante la configuración inicial. "
"Si la contraseña es para la cuenta predeterminada, básicamente está configurada para el primer usuario que instaló el dispositivo, quien luego debe eliminar la cuenta."
"Nosotros estaríamos Es mejor averiguar si hay codificación en el dispositivo y asegurarse de que los propios proveedores lo sepan.
Dado que las contraseñas codificadas nos permiten iniciar sesión en un dispositivo sin un nombre de usuario o autenticación, a menudo se utilizan para una variedad de propósitos potenciales. Morey Haber, vicepresidente de tecnología de BeyondTrust, explicó que, como resultado, cierta información confidencial puede quedar expuesta.
"La mayoría de las veces, no nos damos cuenta de que nuestros productos contienen contraseñas codificadas hasta que surge un problema real. Las empresas necesitan proteger estas contraseñas mediante segmentación y aislamiento para evitar la filtración accidental de datos confidenciales. Acceso En concreto, se puede optar por utilizar una plataforma de control con tecnología de seguridad de contraseña interna.