-
-
[分享]物联网企业出海需注意,英国已禁止物联网设备使用默认弱密码
-
发表于: 2024-5-7 19:08 2809
-
据英国政府官网公告,为加强手机、平板等设备的安全性,使网络犯罪分子难以入侵,其已于当地时间4月29日开始实施新法规,禁止智能设备制造商使用“password”、“admin”、“123456”等简单易破解的默认密码。
在进入正文前,不妨先来听一个真实发生过的故事。七年前曾有一次网络攻击导致美国诸多热门网站无法访问,其中有Twitter、CNN和Netflix等。事态看似严重但攻击原理却并不复杂,不过是一次针对提供DNS(域名系统)服务的Dyn公司的DDoS攻击(分布式拒绝服务攻击)。实施此次攻击的幕后黑手,也不是什么经验丰富的大能,而只是三名十多岁的美国青少年,这些人没多久就被警方逮捕归案。
尽管攻击不复杂,但奈何规模过于庞大。据调查,发送到Dyn服务器的流量来源于一个约30万台设备的僵尸网络——而这个名为Mirai的僵尸网络中的绝大部分设备,都是通过IoT厂商广泛使用的默认用户名和密码感染的。
英国这次宣布实施的《产品安全和电信基础设施法案2022》(PSTI法案)就旨在强制所有设备制造商遵守最低安全标准。新法规中明确规定,所有智能设备必须遵守三项主要要求,其中一项就是禁止出厂设备携带易被破解的默认密码。
据了解,PSTI法案适用于几乎所有连接到互联网的消费者智能设备,例如各种智能家居电器、智能移动设备、娱乐设备、家庭监控设备等。根据指导方针,即使是一块Wi-Fi板也必须使用随机密码或在初始化时生成密码(通过手机app或其他方式),并且密码不能是简单递增的(如“password123”、“123456qwe”等),也不能与公共信息明显相关(如MAC地址或Wi-Fi网络名称)。
英国产品安全与标准办公室(OPSS)负责对供应商执行新规定,不遵守PSTI法案将构成刑事犯罪,不符合规定的产品可能面临召回,违反规定的公司则会被处以高达1000万英镑或其全球收入的4%的罚款,取其中较高者。
公告链接:https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime
编辑:左右里
资讯来源:www.gov.uk
转载请注明出处和本文链接
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)