物聯網(IOT)包括越來越多的連網設備，從安全攝像頭到智能恒溫器。許多企業使用企業級物聯網設備來幫助員工更高效地完成工作，或幫助滿足設施管理需求。但是，企業物聯網還有一個不足之處——身份管理。

身份管理也稱為身份和訪問管理(IAM)，它確保正確的人能夠訪問完成工作所需的系統和信息。但是，物聯網的一個普遍問題是，許多相關技術的構建都沒有考慮到身份管理。

憑證濫用已成問題

當人們試圖通過繞過現有訪問控制系統來訪問或成功訪問系統時，就會發生憑據濫用。有時候，當人們無意中做了一些事情來幫助同事時，就會發生這種情況，比如與同事共享密碼以避免在等待IT部門給他們密碼時出現工作延誤。

但是，在其他情況下，惡意意圖是驅動因素，人們利用身份管理的不足來獲取不應該擁有的訪問權限。最近發布的BeyondTrust全球調查發現，64%的受訪者認為，由于員工濫用訪問權限，他們有過直接或間接的違規行為。

然后，為了將此討論帶到物聯網，我們必須認識到許多物聯網設備并不具備企業級所需的強大密碼管理。據ABI Research公司的一份報告顯示，到2022年，與身份管理相關的物聯網設備收入可能達到215億美元。

某些物聯網設備具有默認密碼

身份管理和物聯網設備的一個已知問題是，其中一些設備帶有默認密碼，用戶應該更改這些密碼，但他們從來不會更改。Positive Technologies的調查結果顯示，大約15%的設備密碼從未更改過默認值。

此外，當人們使用慣用的用戶名/密碼組合時，也會出現問題。更具體地說，Positive Technologies的研究表明，使用五個最受歡迎的這種組合可以訪問十分之一的設備。

值得肯定的是，使用默認密碼將很快成為過去。加州立法者通過了一項法律，該法律將于2020年1月1日生效，要求所有連網設備在加州銷售或生產時必須帶有唯一的密碼。

這是朝著正確方向邁出的一步，特別是考慮到大多數公司可能不會僅為加州創建一些設備。但是，如果企業中的每個人都知道設備的專有密碼并使用它，那么身份管理仍然不起作用。可能有些人不應該訪問物聯網設備，但是通過知道密碼并使用它，他們就擁有了不必要的特權。

私人虛擬助理總是在監聽

與物聯網設備和IAM相關的另一個問題是，大多數帶有個人助理組件的物聯網設備總是在監聽它們的喚醒詞。然而，一些銷售這些產品的公司并不清楚他們如何使用收集到的信息。因此，人們有理由擔心物聯網設備中的虛擬個人助理可能會無意中泄露公司和個人機密信息。

當法院要求Amazon Echo智能揚聲器為2015年謀殺案提供數據時，物聯網設備的潛在企業安全風險再次成為人們關注的焦點。分析人士指出，在有關企業的民事案件中，企業擁有的所有數據都可能成為法庭要求查看的證據——包括智能揚聲器等物聯網設備包含的任何信息。

因此，再回到IAM的問題上，始終在線的物聯網設備的工作方式意味著，任何被授權在工作中使用物聯網設備的各方都應該接受培訓，以避免在任何安裝有物聯網設備的房間里討論敏感的公司信息。這是因為即使物聯網設備被適當鎖定，只有授權的人才能使用，但該設備仍然可以記錄機密信息。

迎接挑戰

一些公司已經認識到物聯網設備所帶來的身份管理問題，并且擁有解決這一安全漏洞的技術。其中之一是Aerohive，它有一款產品叫做Aerohive A3，該產品具有識別公司網絡中所有物聯網設備并為這些設備分配適當訪問控制的功能。

Aerohive產品中有多種訪問控制，公司可以通過調整來滿足需求。此外，解決方案非常適合需要對物聯網設備進行短期網絡訪問的用戶。

重新思考物聯網時代的身份管理

身份管理(IAM)的傳統觀點是，它與某些人是否可以訪問特定資源有關。這一點現在仍然適用，特別是對控制物聯網設備的接口的訪問。(來源：物聯之家iothome)

一家公司可能不會給一個有過可疑行為的人提供訪問權限，相反，這個人必須證明自己有資格獲得更多訪問權限，并且可以通過長期觀察他們的可靠性和可信度來做到這一點。

同樣，公司不應該假設企業級物聯網設備沒有安全漏洞。在這種情況下，身份管理意味著在允許網絡訪問之前審查物聯網設備是否存在問題。換句話說，公司將企業物聯網設備視為未經證實的人。

這樣，物聯網設備或使用它的人對公司構成危險的可能性就會降低，并且在使用過程中注意身份管理將有助于確保公司不會使訪問控制失效。