英国正在取消不安全的默认密码。随着该国的产品安全和电信基础设施法案(PSTI)的更新今天生效,监管机构表示,能够连接到互联网或本地有线网络的技术设备必须具有唯一性的默认密码,或者可以由设备所有者定义。
根据这次更新,制造商将必须简化人们报告安全问题的流程。PSTI 现在还要求他们为报告者提供明确的期望,告知他们何时可以期待得到回应和状态更新。违反法律的行为可能会导致高达 1000 万英镑(约合 1250 万美元)或其“合格全球收入”的 4%的罚款,视两者中的较高者而定。
这项法律将适用于广泛的产品,但主要目标很可能是物联网设备,如智能电视、智能插座或智能扬声器。其中许多设备,尤其是最便宜的商品化产品,由于安全措施松懈,成为网络攻击的目标,这些设备曾是几年前基于 Mirai 的僵尸网络 DDoS 攻击的一部分。这并不一定解决所有这些问题,但糟糕的默认密码是一个应该解决的低悬果实。
在美国,联邦通信委员会(FCC)正在尝试类似的措施——即将推出的网络信任标志计划。这个计划很像联邦能源之星计划,网络信任标志的标识符表明哪些产品符合该计划的要求,包括强大的默认密码。
