法廊快報／數位產品 禁用呆瓜密碼

國際資訊安全界最近的熱門話題之一，就是英國正式實施「2022年產品安全暨電信基礎設施法案」（The Product Security and Telecommunications Infrastructure Act 2022，簡稱PSTI），成為全球第一個禁止廠商使用「呆瓜密碼」作為出廠設定的國家。

所謂的「呆瓜密碼」也就是「admin」、「0000」或「12345」等非常容易被破解的密碼，路由器與WiFi基地台如果出廠時使用呆瓜密碼，而且沒有教用戶如何更改或是根本不讓用戶更改，則同一廠商的網路設備非常容易被駭客破解，進而引發類似2016年「未來惡意軟體」（Mirai Botnet）的大型網路癱瘓事件。

雖然歐盟與美國聯邦的類似法案還在落實當中，但是凡事領先的加州，早在2018年就已立法完成，2020年起正式實施，老早就開始禁止在加州境內販賣「呆瓜密碼」的聯網設備。

當年的Senate Bill 327法案，是對民事法典（Civil Code）的增修，要求廠商提供合理的安全保障，避免使用者的個人隱私外洩，其中最重要的就是，每一具裝置都要有自己獨特的密碼，並且主動要求使用者在第一次使用時更改密碼。（參考https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180SB327）

當然，實施初期，Amazon、Google等大廠都遵守規定，並對舊裝備進行更新，但小廠或已經停產的產品就成為漏網之魚。不過隨著時間進入2024年，少數裝備已經難以造成大型網路癱瘓。

不過，使用者仍需留心，就算出廠密碼不容易破解，但是如果您為圖一時之便，設了「0000」或「12345」之類的簡單密碼，家中與個人聯網設備還是很容易被入侵。