英國政府對網絡犯罪宣戰：默認的弱密碼將被禁止

昨天，英國數字，文化，媒體和體育部（DCMS）部長馬特·沃曼（Matt Warman）告訴《電訊報》，他和他的團隊希望將英國變成“最安全的上網地方”。這聽起來不錯，但是請問任何國家/地區的任何政治人物，他們都會告訴您有關他們所負責的那塊土地的完全相同的事情。但是，英國當選官員認為他們知道如何做到這一點。

DCMS宣布正在製定一項立法，禁止在英國銷售帶有弱密碼和默認密碼的物聯網設備。該部門將提出一項法案，希望該法案將得到國會議員的歡迎，並將成為一項法律。 “盡快”是政府可能提出的最接近ETA的時間，這並不是固定的時間表，但從好的方面來說，無論何時發生，禁止在智能小工具中使用默認密碼都是好消息吧？

英國政府在一定程度上理解了這個問題

真正的好消息是，越來越多的人開始意識到問題所在。互聯網連接的小玩意無休止的浪潮改變了我們的日常生活，但是可以說，它對在線威脅格局產生了甚至更深遠的影響。我們數以百萬計的人購買的許多IoT設備都非常容易受到攻擊，並且可以充當（相對）無害惡作劇，破壞性DDoS攻擊和網絡跟踪等一切手段的工具。

入侵智能燈泡，嬰兒監視器或另一種IoT技術通常與使用專門的搜索引擎並蒐索品牌和型號以獲取默認登錄憑據一樣容易。在某些情況下，只需嘗試簡單的組合（例如“123456”）。 DCMS認為，禁止使用弱密碼和默認密碼會使黑客的生活更加困難。但是，擬議的立法真的會產生預期的效果嗎？

默認密碼和弱密碼只是問題的一部分

默認密碼經常被人們譽為物聯網糟糕的安全性的主要原因。這是（至少部分地）因為普通公眾可以更輕鬆地了解這種攻擊的工作方式。這也是為什麼現成的密碼是立法者首先要考慮的原因。但是，事實是，默認登錄憑據很少（只是一部分）出現在問題中。

例如，去年，歐盟委員會召回了一批涉及隱私問題的兒童智能手錶。在那種情況下，問題不是默認密碼，而是小工具在傳輸大量敏感信息而不以任何方式對其進行加密的事實。還有許多其他示例與身份驗證過程無關，但仍然可以證明某些物聯網設備的安全性很差。

對於一直密切關注所謂的物聯網革命的任何人來說，當前情況的原因都是顯而易見的。供應商正在努力滿足最近發現的將日常物品盡快，盡可能便宜地連接到互聯網的願望。設計是匆匆忙忙地建立起來的，並且由於所有這些設計都應該帶來一些新穎性，因此易用性優先於任何隱私或安全性問題。

英國政府確實知道問題超出了默認密碼。對於使用弱登錄憑據的設備的擬議禁令是有關物聯網安全的更廣泛的最佳實踐代碼的一部分。它於2018年草擬，其中包括許多其他要點，目前僅是建議。如果將其變為法律，則物聯網供應商將被迫擁有公共漏洞報告平台，甚至可能需要開始在其產品上貼上警告標籤，以告知用戶智能小工具可能受到黑客的攻擊。不幸的是，我們不確定這是否足夠。

供應商和用戶必須開始更加重視安全性

物聯網已經成為許多重大網絡安全事件的中心，而且英國政府並不是第一個意識到必須採取行動的監管機構。實際上，早在2018年，加利福尼亞州就通過了一項禁止使用默認密碼的法律，該法律於1月1日生效。我們尚未看到它會產生多大的效果，但是我們很確定其他地方和國家政府也會效仿。

問題是，立法只能使您走到目前。控制單個物聯網設備安全性的因素之多令人難以置信，而對所有這些因素進行監管是不可能的。如果情況要改善，我們需要從根本上改變供應商和用戶的思維方式。

即使我們認為最近的法律將敦促製造商提供更安全的登錄系統，也沒有什麼可以阻止他們以最快，最便宜和最不安全的方式構建其餘的後端基礎結構。在許多物聯網設備中發現的巨大安全漏洞表明，一些供應商必須意識到他們有責任確保客戶安全並相應地重新排列其優先級列表。話雖這麼說，我們不能將所有責任歸咎於供應商。

許多人採用的“這不會發生在我身上”的心態對我們沒有任何幫助。物聯網供應商傾向於使用默認密碼來運輸其產品，因為這使首次安裝設備變得更加輕鬆快捷。它們還包括一個允許更改默認密碼的功能，簡單的事實是，許多客戶不使用它。

物聯網的意義僅在於給我們的生活帶來積極的變化，但是很明顯，就目前的形式而言，它還會帶來一些問題。英國和加利福尼亞州的立法者正試圖解決其中一些問題，但真正的改變只能來自設計和使用智能設備的人。