Det amerikanske cybersikkerhedsagentur Cybersecurity and Infrastructure Security Agency (CISA) opfordrer producenter af hardware og software til helt at droppe brugen af standard-adgangskoder i deres produkter.
Ifølge CISA vil et sådant tiltag medvirke til at beskytte koderne.
Det skriver agenturet i en meddelelse i forbindelse med udgivelsen af rapporten 'Secure by Design Alert: Sådan kan producenter beskytte kunder ved at fjerne standard-adgangskoder'.
Rapporten kommer i kølvandet på undersøgelser om, at aktører tilknyttet Irans Revolutionsgarde (IRGC), har rettet angreb mod kritisk infrastruktur i USA via udstyr, der inkluderer brugen standardadgangskoder, og som gør disse områder særdeles sårbare.
"Studier af CISA viser, at brugen af standard legitimationsoplysninger såsom adgangskoder er en top-svaghed, som trusselsaktører udnytter for at få adgang til systemer, herunder dem inden for amerikansk kritisk infrastruktur," lyder det i meddelelsen fra CISA.
"Seneste indtrængen, der rettede sig mod programmerbare logikstyringer (PLC'er), der var kodet med en firecifret adgangskode, viser det betydelige potentiale for reel skade forårsaget af producenter, der distribuerer produkter med statiske standardadgangskoder," lyder det videre.
Ifølge CISA var standard-adgangskoden kendt og tilgængelig på åbne fora, hvor trusselsaktørerne kunne hente dem og benytte dem i forbindelse med deres angreb.
Ifølge rapporten bør producenter skifte til andre former for adgangskodebeskyttelsesteknologi, der omfatter phishing-resistent multifaktorautentificering (MFA), instance-unikke installationsadgangskoder med produkter og kræve fysisk adgang til indledende opsætning.
CISA udtaler, at "års erfaring har vist, at det er utilstrækkeligt at stole på, at tusindvis af kunder ændrer deres adgangskoder, og kun samlet handling fra teknologiproducenter vil håndtere de alvorlige risici, som kritiske infrastrukturorganisationer står over for."
