IoT 设备被攻击会造成什么损害？

隐私侵害 (摄像头/麦克风窃听)、被纳入僵尸网络参与 DDoS 攻击、成为入侵家庭网络的跳板等。

需要更改 IoT 设备的默认密码吗？

务必更改。出厂默认密码在网上公开可查，Mirai 等恶意软件会自动使用默认凭据接管设备。

IoT 设备安全首先应该做什么？

优先做三件事：更改默认密码、更新固件、将 IoT 设备隔离到专用网络 (VLAN 或访客 Wi-Fi)。

物联网设备安全防护

本文约需 8 分钟阅读

智能音箱、网络摄像头、智能门锁、可穿戴设备等 IoT (物联网) 设备正在迅速融入我们的日常生活。据调查，截至 2024 年，全球 IoT 设备数量已达约 390 亿台，预计 2025 年将进一步增长。然而，许多设备仍使用脆弱的默认密码运行，安全更新也不充分。本文将介绍 IoT 设备中潜藏的风险，以及在家庭和办公室中可以实施的具体防御措施。

到底应该先做什么

请按以下优先顺序改善 IoT 安全。初学者首先应将所有 IoT 设备的默认密码更改为使用 Passtsuku.com 生成的强密码。接下来，使用路由器的访客网络功能将 IoT 设备与电脑和智能手机隔离到不同的网络。中级以上用户还应加强路由器管理密码、切换到 WPA3 并禁用 UPnP。

IoT 设备为何成为攻击目标

默认密码未更改

许多 IoT 设备出厂时设置了"admin"、"password"或"123456"等密码。用户往往从不更改这些默认密码，而攻击者对此非常了解。Mirai 僵尸网络使用 61 种已知默认密码自动登录 IoT 设备，在 2016 年发动了大规模 DDoS 攻击。该攻击以 DNS 提供商 Dyn 为目标，导致 Twitter、Netflix、Reddit 等众多大型服务暂时无法访问。了解 DNS 安全有助于理解此类基础设施级攻击的规模。Mirai 的变种至今仍在活动，日本 NICT（情报通信研究机构）的观测显示，针对 IoT 设备的网络攻击流量约占总攻击流量的 30%。

更新机制的局限性

与电脑和智能手机不同，许多 IoT 设备缺乏自动更新功能。固件更新需要手动执行，过程可能很复杂。此外，制造商在几年后停止提供安全补丁的情况并不少见，导致大量设备在已知漏洞未修复的状态下继续使用。值得注意的是，停止支持的通知往往无法充分传达给用户 - 通常只是在制造商网站上不起眼地发布，设备本身几乎不会收到通知。

加密不足

一些 IoT 设备在不加密的情况下传输通信数据，或使用 SSL 3.0、TLS 1.0 等已被弃用的加密协议。如果同一网络上的攻击者截获通信，就可以轻松获取摄像头画面、音频数据、传感器信息等敏感数据。特别是网络摄像头，存在以明文传输视频数据的产品，2020 年曾报告日本约 2,000 台摄像头的画面处于可被第三方查看的状态。了解加密基础知识有助于在选择设备时做出判断。

要系统地学习 IoT 安全基础知识，可以参考IoT 漏洞评估实践书籍 (Amazon)。

实用安全措施

立即更改默认密码

购买 IoT 设备后首先要做的就是更改密码。请使用 Passtsuku.com 为每个设备生成唯一的强密码。由于 IoT 设备密码不需要频繁手动输入，建议设置 20 个字符以上的长密码。包含大写字母、小写字母和数字的 20 个字符密码可提供约 119 位熵，对暴力破解攻击具有足够的抵抗力。如果设备支持特殊字符，也请添加以进一步提高强度。

构建 IoT 专用网络

将 IoT 设备与电脑和智能手机连接到同一网络意味着，如果一台 IoT 设备被入侵，整个网络都会面临风险。许多家用路由器都有访客网络功能，请将 IoT 设备连接到访客网络，与主网络隔离。在企业环境中，建议使用 VLAN（虚拟局域网）将 IoT 设备隔离到独立的网络段。一个常见的误解是"访客网络速度较慢"，但如果不设置带宽限制，访客网络可以以与主网络相同的速度通信。

保持固件更新

请定期检查 IoT 设备的固件，有更新时及时应用。对于没有自动更新功能的设备，建议养成每月检查一次制造商支持页面的习惯。固件更新通常包含安全补丁，是修复已知漏洞的重要手段。更新过程中断电可能导致设备故障，因此更新时请保持电源稳定，等待更新完成。

禁用不必要的功能

请积极禁用不使用的功能。远程访问、UPnP（通用即插即用）、语音助手联动等，每个启用的功能都是潜在的攻击目标。特别是 UPnP，它允许设备自动打开路由器端口，可能成为外部非法访问的入口。只启用必要的功能，最小化攻击面，这是安全的基本原则。同时也不要忽视 IoT 设备的物理访问控制，当有人能够直接接触设备时，仅靠软件措施是不够的。

加强路由器安全

路由器是网络上所有 IoT 设备的入口。如果路由器的安全性薄弱，所有连接的设备都会面临风险。

将路由器管理密码更改为使用 Passtsuku.com 生成的强密码
将 Wi-Fi 加密方式设置为 WPA3（如果不支持 WPA3 则使用 WPA2）
禁用 WPS（Wi-Fi Protected Setup），因为它存在已知漏洞
保持路由器固件为最新版本
将默认 SSID 更改为不会暴露路由器型号的名称

考虑更换路由器时，支持 WPA3 的 Wi-Fi 6E 路由器 (Amazon) 支持最新的安全标准。网络分段还有助于在 IoT 设备被入侵时遏制勒索软件的传播。

如何选择安全的 IoT 设备

购买 IoT 设备时，请将安全性作为重要的选择标准。确认制造商是否提供定期安全更新、是否支持强认证方式（如双因素认证）、隐私政策是否明确、是否实施了数据加密。特别是智能手表和健康管理设备等处理身体数据的 IoT 设备，医疗数据保护的考量尤为重要。廉价无名制造商的产品往往安全措施不足，选择信誉良好的制造商的产品有助于长期安全。自 2024 年起，欧盟实施了《网络弹性法案》(Cyber Resilience Act)，要求 IoT 产品符合安全要求。选择带有 CE 标志的产品也可以作为安全质量的判断依据。通过使用 Passtsuku.com 为每个设备设置唯一密码并定期更新，可以显著提高整个 IoT 环境的安全性。

现在就能做的事

列出家中所有 IoT 设备（摄像头、音箱、路由器等），检查是否有仍在使用默认密码的设备
使用 Passtsuku.com 生成 20 个字符以上的密码，逐个更改所有 IoT 设备的密码
启用路由器的访客网络功能，将 IoT 设备连接到与电脑和智能手机不同的网络
使用 Passtsuku.com 加强路由器管理密码，将 Wi-Fi 加密方式设置为 WPA3（或 WPA2）
检查每个 IoT 设备的固件更新，并更新到最新版本

常见问题

IoT 设备被攻击会造成什么损害？: 隐私侵害 (摄像头/麦克风窃听)、被纳入僵尸网络参与 DDoS 攻击、成为入侵家庭网络的跳板等。
需要更改 IoT 设备的默认密码吗？: 务必更改。出厂默认密码在网上公开可查，Mirai 等恶意软件会自动使用默认凭据接管设备。
IoT 设备安全首先应该做什么？: 优先做三件事：更改默认密码、更新固件、将 IoT 设备隔离到专用网络 (VLAN 或访客 Wi-Fi)。

这篇文章对您有帮助吗？

生成密码 →