据英国政府官网公告，为加强手机、平板等设备的安全性，使网络犯罪分子难以入侵，其已于当地时间4月29日开始实施新法规，禁止智能设备制造商使用“password”、“admin”、“123456”等简单易破解的默认密码。

在进入正文前，不妨先来听一个真实发生过的故事。七年前曾有一次网络攻击导致美国诸多热门网站无法访问，其中有Twitter、CNN和Netflix等。事态看似严重但攻击原理却并不复杂，不过是一次针对提供DNS（域名系统）服务的Dyn公司的DDoS攻击（分布式拒绝服务攻击）。实施此次攻击的幕后黑手，也不是什么经验丰富的大能，而只是三名十多岁的美国青少年，这些人没多久就被警方逮捕归案。

尽管攻击不复杂，但奈何规模过于庞大。据调查，发送到Dyn服务器的流量来源于一个约30万台设备的僵尸网络——而这个名为Mirai的僵尸网络中的绝大部分设备，都是通过IoT厂商广泛使用的默认用户名和密码感染的。

英国这次宣布实施的《产品安全和电信基础设施法案2022》（PSTI法案）就旨在强制所有设备制造商遵守最低安全标准。新法规中明确规定，所有智能设备必须遵守三项主要要求，其中一项就是禁止出厂设备携带易被破解的默认密码。

据了解，PSTI法案适用于几乎所有连接到互联网的消费者智能设备，例如各种智能家居电器、智能移动设备、娱乐设备、家庭监控设备等。根据指导方针，即使是一块Wi-Fi板也必须使用随机密码或在初始化时生成密码（通过手机app或其他方式），并且密码不能是简单递增的（如“password123”、“123456qwe”等），也不能与公共信息明显相关（如MAC地址或Wi-Fi网络名称）。

英国产品安全与标准办公室（OPSS）负责对供应商执行新规定，不遵守PSTI法案将构成刑事犯罪，不符合规定的产品可能面临召回，违反规定的公司则会被处以高达1000万英镑或其全球收入的4%的罚款，取其中较高者。

公告链接：https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime

编辑：左右里

资讯来源：www.gov.uk

转载请注明出处和本文链接

[培训]内核驱动高级班，冲击BAT一流互联网大厂工 作，每周日13:00-18:00直播授课