加州禁止連網產品使用預設密碼
未來 2 年之內,糟糕極了的預設密碼,將會絕跡於美國加州生產和出售的連網產品。這是因為當地州長髮起了「ofollow,noindex" target="_blank">Information Privacy: Connected Devices 」法案,在 2020 年 1 月 1 日開始,禁止在連網產品有預設和寫死(hard code)的密碼。這法案提交至州政府後兩星期就已經批准了。
這法案通過之後,廠商們就需要為每臺出廠的連網產品設立一組獨特的密碼,或是硬性要求使用者首次使用時就建立新密碼。據法案的描述,所有被定義為「直接或間接擁有連上網際網路路能力,並會被編配一組網際網路協議地址或藍芽地址的實質物件」都屬於受規管的連網產品。
這新法規顯然是針對著要阻止會廣泛損害網路產品的殭屍網路再次肆虐,所以要好好管制諸如路由器、網路攝像頭和其他 IoT 裝置,因為不少惡意軟體都會首先嚐試利用易於猜測的預設密碼,來入侵併控制 IoT 產品。
可是部分基於 1980 和 1990 年代施行的法律而把預設密碼寫死的產品,似乎就沒有方法能處理到,只能讓它們隨時間淘汰吧。更重要的,是不知道其他地區會不會跟進這做法,杜絕因此而發生的資安危機。