英国政府对网络犯罪宣战:默认的弱密码将被禁止
昨天,英国数字,文化,媒体和体育部(DCMS)部长马特·沃曼(Matt Warman)告诉《电讯报》,他和他的团队希望将英国变成“最安全的上网地方”。这听起来不错,但请问任何国家/地区的任何政治人物,他们都会告诉您有关他们所负责的那块土地的完全相同的事情。但是,英国当选官员认为他们知道如何做到这一点。
DCMS宣布正在制定一项立法,禁止在英国销售带有弱密码和默认密码的物联网设备。该部门将提出一项法案,希望该法案将得到国会议员的欢迎,并将成为一项法律。 “尽快”是政府可能提出的最接近ETA的时间,这并不是固定的时间表,但从好的方面来说,无论何时发生,禁止在智能小工具中使用默认密码都是好消息吧?
Table of Contents
英国政府在一定程度上理解了这个问题
真正的好消息是,越来越多的人开始意识到问题所在。互联网连接的小玩意无休止的浪潮改变了我们的日常生活,但是可以说,它对在线威胁格局产生了甚至更深远的影响。我们数以百万计的人购买的许多IoT设备都非常容易受到攻击,并且可以充当(相对)无害恶作剧,破坏性DDoS攻击和网络跟踪等一切手段的工具。
入侵智能灯泡,婴儿监视器或另一种IoT技术通常与使用专门的搜索引擎并搜索品牌和型号以获取默认登录凭据一样容易。在某些情况下,只需尝试简单的组合(例如“123456”)。 DCMS认为,禁止使用弱密码和默认密码会使黑客的生活更加困难。但是,拟议的立法真的会产生预期的效果吗?
默认密码和弱密码只是问题的一部分
默认密码经常被人们誉为物联网糟糕的安全性的主要原因。这是(至少部分地)因为普通公众可以更轻松地了解这种攻击的工作方式。这也是为什么现成的密码是立法者首先要考虑的原因。但是,事实是,默认登录凭据很少(只是一部分)出现在问题中。
例如,去年,欧盟委员会召回了一批涉及隐私问题的儿童智能手表。在那种情况下,问题不是默认密码,而是小工具在传输大量敏感信息而没有以任何方式对其进行加密的事实。还有许多其他示例与身份验证过程无关,但仍然可以证明某些物联网设备的安全性有多差。
对于一直密切关注所谓的物联网革命的任何人来说,当前情况的原因都是显而易见的。供应商正在努力满足最近发现的将日常物品尽快,尽可能便宜地连接到互联网的愿望。设计是匆匆忙忙地建立起来的,并且由于所有这些设计都应该带来一些新颖性,因此易用性优先于任何隐私或安全性问题。
英国政府确实知道问题超出了默认密码。对使用弱登录凭据的设备的拟议禁令是有关物联网安全的更广泛的最佳实践代码的一部分。它于2018年草拟,其中包括许多其他要点,目前仅是建议。如果将其变为法律,则物联网供应商将被迫拥有公共漏洞报告平台,甚至可能需要开始在其产品上贴上警告标签,以告知用户智能小工具可能受到黑客攻击。不幸的是,我们不确定这是否足够。
供应商和用户必须开始更加重视安全性
物联网已经成为许多重大网络安全事件的中心,而且英国政府并不是第一个意识到必须采取行动的监管机构。实际上,早在2018年,加利福尼亚州就通过了一项禁止使用默认密码的法律,该法律于1月1日生效。我们尚未看到它会产生多大的效果,但是我们很确定其他地方和国家政府也会效仿。
问题是,立法只能使您走到目前。控制单个物联网设备安全性的因素之多令人难以置信,而对所有这些因素进行监管是不可能的。如果情况要改善,我们需要从根本上改变供应商和用户的思维方式。
即使我们认为最近的法律将敦促制造商提供更安全的登录系统,也没有什么可以阻止他们以最快,最便宜和最不安全的方式构建其余的后端基础结构。在许多物联网设备中发现的巨大安全漏洞表明,一些供应商必须意识到他们有责任确保客户安全并相应地重新排列其优先级列表。话虽这么说,我们不能将所有责任归咎于供应商。
许多人采用的“这不会发生在我身上”的心态对我们没有任何帮助。物联网供应商倾向于使用默认密码来运输其产品,因为这使首次设置设备变得更加轻松快捷。它们还包括一个允许更改默认密码的功能,而事实的简单事实是,许多客户不使用它。
物联网的目的只是给我们的生活带来积极的变化,但是很明显,就目前的形式而言,它还会带来一些问题。英国和加利福尼亚州的立法者正试图解决其中的一些问题,但真正的改变只能来自设计和使用智能设备的人。
