Kalifornia zakazuje producentom stosowania słabych haseł. „Admin” i „qwerty” odchodzą do lamusa

Prywatność i bezpieczeństwo Technologie Zagranica dołącz do dyskusji (34) 06.10.2018
Kalifornia zakazuje producentom stosowania słabych haseł.  „Admin” i „qwerty” odchodzą do lamusa

Udostępnij

Tomasz Laba

Władze Kalifornii zakazały stosowania prostych, domyślnych haseł w sprzedawanych na terenie stanu urządzeniach podłączonych do internetu. Zmiana dotyczy oczywiście producentów sprzętów i domyślnych haseł typu admin i password. Amerykanie w dalszym ciągu mogą ustawić qwerty1 jako hasło do banku.

Producenci sprzętów elektronicznych zazwyczaj nie silą się na ustawianie mocnych haseł. Nie chodzi oczywiście o to, że bezpieczeństwo mają w głębokim poważaniu. Zakładam, że po stronie producenta prościej jest wypuścić z fabryki 1000 modemów, z których każdy z nich ma ustawione identyczne domyślne hasło i login. Producenci zresztą bardzo słusznie zakładają, że ich rolą jest dostarczenie odpowiedniego sprzętu, a nie wyręczanie konsumentów w dbaniu o własne bezpieczeństwo. Problem polega na tym, że dla zdecydowanej większości odbiorców domyślne hasło jest jedynym hasłem, jakiego będą używać.

Te przyzwyczajenia oczywiście wykorzystują cyberprzestępcy. Zresztą niechęć do korzystania z bardziej skomplikowanych haseł widać po tym, jakie najczęściej się pojawiają w wykradzionych danych. Użytkownicy odruchowo ustawiają łatwe do zapamiętania kombinacje sąsiadujących klawiszy. Króluje oczywiście qwerty, qwerty1, 11111, 123456 i password. Właśnie dlatego władze Kalifornii zdecydowały, że producenci powinni myśleć za konsumentów. Uchwalono prawo, które nakazuje producentom każdego sprzętu, który może być podłączony do internetu ustawienie indywidualnego hasła dla każdego z nich na etapie produkcji.

Prawo stanowi, że domyślne hasło ma być skomplikowane

Chodzi o wszystkie urządzenia produkowane bądź sprzedawane na terenie Kalifornii. Dlatego każde z nich będzie musiało mieć indywidualne hasło albo specjalną procedurę, która pozwoli na wygenerowanie takiego przy pierwszym uruchomieniu sprzętu. To rozwiązanie może przypominać te stosowane z pierwszym użyciem karty bankomatowej i ustawienie numeru PIN. Nowe prawo przewiduje również możliwość pozwania producenta za szkody powstałe w wyniku zignorowania tych przepisów.

Zmiany są komentowane raczej pozytywnie, aczkolwiek pojawiają się głosy mówiące o tym, że jeszcze lepszym pomysłem byłoby wymuszenie na producentach częstszych aktualizacji sprzętów, które wypuszczają na rynek. Nawet najlepsze i najbardziej pomysłowe hasło nie pomoże, jeżeli wersja oprogramowania zainstalowana na urządzeniu pochodzi sprzed kilku lat. Te wersje już dawno przecież zostały rozpracowane przez przestępców i często są wykorzystywane do przeprowadzenia ataku.

Jest bardzo prawdopodobne, że podobne prawa rozprzestrzenią się na pozostałe amerykańskie stany. Stąd już prosta droga do popularyzacji podobnych przepisów na pozostałych producentów. Każde rozwiązanie, które promuje wzrost bezpieczeństwa użytkowników sieci, zasługuje na pochwałę. Oczywiście nie jest tak, że prawo powinno całkowicie przerzucać odpowiedzialność za bezpieczeństwo na producentów, ale bardzo liczę na to, że takie rozwiązania przyczynią się do wzrostu świadomości wszystkich internautów.