Kalifornia betiltja a béna jelszavakat
A kaliforniai törvényhozás a múlt héten elfogadott egy új szabályozást a csatlakoztatott eszközök információbiztonságáról (The Information Privacy: Connected Devices). Ennek értelmében
az elektronikai cégek 2020-tól nem forgalmazhatnak olyan kütyüket az államban, amiken könnyen kitalálható vagy feltörhető a gyári jelszó.
A ma kapható eszközökben többnyire olyan béna alapértelmezett jelszavak vannak, mint az „admin” és a „password”. Ez kényelmi funkció: ha resetelni kell egy eszközt – például a routert –, és minden alapbeállításra áll vissza, a gyárilag megadott admin-passwordre emlékezni fogunk, arra meg, hogy AICULEDSSUL, valószínűleg nem.
A két év múlva érvénybe lépő szabályozás kimondja, hogy minden forgalomba kerülő készüléket egyedi jelszóval kell ellátni, vagy bekapcsolás után kötelezővé kéne tenni, hogy a felhasználó állítson be egyet. A változtatásra azért van szükség, mert az elmúlt években világszerte megszaporodtak a gyenge gyári jelszavakat célzó hekkertámadások. A hekkerek kihasználták, hogy a felhasználók gyári jelszóval használták a gépet, amit könnyen feltörhettek.
A Register munkatársa, Kieren McCarthy a BBC-nek azt mondta, hogy a lépés egy régóta fennálló kockázati tényezőt iktat ki, de úgy látja, hogy a rendszertelen frissítési gyakorlatra is ráférne a törvényi szabályozás, mert a hekkerek tömegesen használják ki a már ismert hibákat a nem frissített eszközökön. A gyakorlatban ez már ma is több bosszúságot okoz, mint a gyenge jelszavak, és a helyzet még súlyosabb lesz, ha az IoT (internet of things) elterjedésével naponta több százezer új eszköz csatlakozik majd a hálózatra.
A törvény ma is kötelezi rá a gyártóknak, hogy a készülékeiket észszerű biztonsági eszközökkel lássák el. Ha a gyártó megszegi az előírást, és emiatt az ügyfele kárt szenved, joga lesz beperelni miatta a céget.