美国加州于近日通过了一项法律,试图禁止弱密码的使用并执行必要的安全措施,以保护联网设备。
虽然该项法律并不会导致个人或者企业可能因为试图使用类似“Password123”这样的弱密码来锁定自己的电脑或Wi-Fi而遭到当地执法部门的突击检查,但新法律将要求制造的设备必须预先设定唯一密码,而不是统一的默认登录凭证。
此外,该项法律的信息隐私保护还将要求设备包含必要的安全功能,并要求用户在首次对设备进行访问时修改身份验证方式,以及采取确保设备受到保护的其他措施。
知名网络安全公司High-Tech Bridge的首席执行官Ilia Kolochenko认为:不安全的物联网以及联网设备如今已经构成了一种无形但正在迅速增长的安全和隐私风险。
“数以百万计的联网设备已经成为我们日常生活中不可或缺的一部分。”Kolochenko说,“目前普遍存在的默认或弱密码可能不仅会导致网络安全问题,而且会造成人身伤害甚至死亡。”
他补充说,禁用弱密码可能会产生一种潜在的影响,即为了便于记忆,人们可能会将它保存在设备上的某个位置,以及在多个地方重复使用相同的密码。在这种情况下,如果他们没有对设备进行定期升级更新的话,那么则会以另一种形式容易受到攻击。
全球知名软件完整性解决方案平台公司Synopsys的高级首席顾问Amit Sethi表示,从长远来看,这项法律不太可能使联网设备更加安全。
“另一个问题是,密码唯一性要求似乎只适用于联网设备,这些设备‘具备在局域网之外进行身份验证的能力’。” Sethi说,“这项法律只有假设联网设备全都部署在完全可信的局域网中才能够起到效果,而这在现实生活中很少发生。”
另一些研究人员则认为,该项法律既没有提到管理员密码,也没有提到大型组织管理密码的方式。
美国加利福尼亚州通过的这项法律将于2020年1月1日生效。至于最终效果如何,则有待时间来证明。
本文节选自:黑客视界
|