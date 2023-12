De Amerikaanse overheid heeft fabrikanten van apparatuur opgeroepen om te stoppen met het gebruik van standaard wachtwoorden. Aanleiding zijn mede de aanvallen op industriële controlesystemen van fabrikant Unitronics, waarbij aanvallers door middel van het standaard wachtwoord '1111' toegang weten te krijgen. Deze systemen worden onder andere voor de drinkwatervoorziening gebruikt.

Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security roept elke techfabrikant dan ook op om standaard wachtwoorden in het ontwerp, uitbrengen en updaten van producten te elimineren. "Jaren aan bewijs laten zien dat het vertrouwen op duizenden klanten om hun wachtwoorden te wijzigen niet voldoende is, en alleen actie door techfabrikanten zal de zeer ernstige risico's kunnen oplossen waar vitale organisaties mee te maken hebben", zo stelt het CISA in een 'Secure by Design Alert' (pdf).

Volgens het CISA is het gebruik van algemeen bekende wachtwoorden gezien de huidige dreigingsomgeving onacceptabel. De Amerikaanse overheidsdienst wijst naar onderzoeken, waaronder die het zelf uitvoerde, dat standaard wachtwoorden tot de voornaamste kwetsbaarheden behoren waardoor aanvallers toegang tot systemen weten te krijgen, waaronder die van de Amerikaanse vitale infrastructuur.

"Recente aanvallen gericht op programmable logic controllers (PLCs) hardcoded met een viercijferig wachtwoord laat de potentie zien van echte schade die fabrikanten kunnen aanrichten door producten met vaste wachtwoorden aan te bieden. In deze aanvallen was het standaard wachtwoord algemeen bekend en op fora te vinden, waar aanvallers inlichtingen verzamelen die ze gebruiken voor het binnendringen van Amerikaanse systemen", aldus het CISA.

Als oplossing adviseert de overheidsdienst het gebruik van unieke wachtwoorden per product, het gebruik van wachtwoorden die alleen tijdens de initiële installatie zijn te gebruiken of het verplichten van fysieke toegang voor de eerste setup en unieke inloggegevens.