法廊快報/數位產品 禁用呆瓜密碼
國際資訊安全界最近的熱門話題之一,就是英國正式實施「2022年產品安全暨電信基礎設施法案」(The Product Security and Telecommunications Infrastructure Act 2022,簡稱PSTI),成為全球第一個禁止廠商使用「呆瓜密碼」作為出廠設定的國家。
所謂的「呆瓜密碼」也就是「admin」、「0000」或「12345」等非常容易被破解的密碼,路由器與WiFi基地台如果出廠時使用呆瓜密碼,而且沒有教用戶如何更改或是根本不讓用戶更改,則同一廠商的網路設備非常容易被駭客破解,進而引發類似2016年「未來惡意軟體」(Mirai Botnet)的大型網路癱瘓事件。
雖然歐盟與美國聯邦的類似法案還在落實當中,但是凡事領先的加州,早在2018年就已立法完成,2020年起正式實施,老早就開始禁止在加州境內販賣「呆瓜密碼」的聯網設備。
當年的Senate Bill 327法案,是對民事法典(Civil Code)的增修,要求廠商提供合理的安全保障,避免使用者的個人隱私外洩,其中最重要的就是,每一具裝置都要有自己獨特的密碼,並且主動要求使用者在第一次使用時更改密碼。(參考https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180SB327)
當然,實施初期,Amazon、Google等大廠都遵守規定,並對舊裝備進行更新,但小廠或已經停產的產品就成為漏網之魚。不過隨著時間進入2024年,少數裝備已經難以造成大型網路癱瘓。
不過,使用者仍需留心,就算出廠密碼不容易破解,但是如果您為圖一時之便,設了「0000」或「12345」之類的簡單密碼,家中與個人聯網設備還是很容易被入侵。
留言