國內安防領域的巨無霸企業海康威視在上周出了個簍子。部署在江蘇省公安系統內的?？当O控設備遭遇境外IP地址控制。江蘇省公安廳急電責令各地，立即展開清查，并展開安全加固清除漏洞。

這則消息傳出后眾聲紛紜，甚至有評論稱其為黑天鵝、棱鏡門事件。雷鋒網當即求證了?？低暪俜?，得到答復是：安全隱患是因為用戶忘記改缺省密碼，這件事沒那么夸張。

海康威視后續發了三次聲明，今天上午又開了一次投資者電話會議來解釋此事。盡管很大原因是因為要維護股價，但其對安全的重視程度亦可見一斑。

白帽子：海康遲遲不解決問題

在安全界眼中，?？挡⒉惶阋患抑匾暟踩钠髽I。一位白帽子給雷鋒網發來一組鏈接，都是?？到鼛啄暝诼┒雌脚_上曝光的漏洞。他說，?？翟O備的大面積弱口令(即默認密碼)問題在兩年前就已經爆出，當時國家互聯網應急中心將漏洞中轉至?？低暎居凶鳛橥ㄓ寐┒刺幚?。

翻閱其它漏洞信息，弱口令問題同樣不少，其中比較值得一提的是，有人通過Google搜索+弱口令，發現了大量暴露在互聯網上的海康設備。這意味著，即使一個初學電腦的普通人，也很容易學會入侵?？当O控設備。

?？低暬貜土瞬糠秩蹩诹盥┒?，態度都很扎實，其表示公司已經在官網和幫助文檔中提示用戶，設備如用于公網請立刻修改初始密碼。

但白帽子哂笑道：“嗯，還是沒解決問題啊。”他認為這個問題并沒有得到實質性的改善，最簡單的方法比如在設備第一次使用時添加安全提示，就會有效很多。雷鋒網交流過的其他白帽子也有類似意見。

海康：客戶說不好用

?？低曇灿凶约旱恼f法。在今天上午的投資者會議上，海康威視總經理胡揚忠講述了公司是怎樣去對待弱口令問題。

一般來說，弱口令問題只在公網有危害，專網、局域網木有影響。過去五年銷出的?？诞a品，至少90%是用在專網、局域網。

由于體量過于龐大，在公網的設備數量亦很多。?？甸_發了一套hikddns系統，現在新的海康產品，用在公網都會注冊到這個平臺上?？梢酝ㄟ^它給用戶發送補丁信息。

最后還有海康官網公告以及說明書上的警示了。

盡管有了hikddns系統，但對改善“弱口令問題”并不見得有效。hikddns可以給設備推送補丁，在設備感染的情況下幫助恢復系統，但它沒法去幫用戶修改弱口令。

如上述白帽子所言，能有效解決弱口令問題的方法很多，其中很直接的一種就是雙重驗證，在查看監控視頻時需要再一重密碼驗證。這一技術廣泛應用于海康威視旗下互聯網業務公司螢石的產品中。

雷鋒網向胡揚忠提問：“是否考慮在公網設備中加入類似技術呢？”

他回答說，不同客戶會有不同考量，?？得鎸Φ挠腥惪蛻羧海瑢＞W與局域網客戶、互聯網客戶、以及中間小微企業客戶。他們曾經嘗試過在部分產品中設置過更復雜的初始密碼，但客戶反饋不好用，最后變成了現在的統一默認密碼。

胡揚忠稱，會考慮類似機器綁定的技術，并承諾2015年海康的全線產品在安全性上有一個大幅度的提升，但他沒有透露任何細節。

弱口令之困

海康威視暴露的是一個行業困境，不止它一家，國內外的攝像頭廠商都遭遇過。去年11月俄羅斯一家網站曝光了全球上萬個私人攝像頭的視頻流媒體連接，全都是因為默認密碼沒有修改。這些廠商有中國的福斯康姆、日本松下、美國Linksys。

不止攝像頭，路由器、打印機甚至服務器等產品也大范圍存在默認密碼的現狀，使用者沒有修改出廠密碼就接入公網，導致設備存在安全隱患。

互聯網上每天有成千上萬的掃描器在工作，Google、Bing、Baidu是最大的幾個，但還有很多小型的，比如Shodan、Zoomeye，它們主攻聯網設備和互聯網組件掃描。甚至一款瀏覽器插件，只要用戶量夠大也能作被動式的全網掃描。

這些掃描器可以輕易發現暴露在公網的設備，這意味著黑客也同樣能做到。知道創宇創始人趙宇曾經透露，希望能窮舉整個互聯網的IP地址，他這般雄心勃勃的人并不在少數。

所有的強需求硬件都面臨著一個難題——它們有太多小白用戶，一個不好用就被棄用。這對于產品設計提出了更高的要求，而硬件廠商們則非常徹底的犯了偷懶癥，它們簡單粗暴的用統一默認密碼來解決這個問題。

我們知道，默認密碼有其舊年代的背景，但放在互聯網上，請問現在還合適嗎？

期待有廠商能邁出第一步。