좋은 소식!
캘리포니아는 2020 년부터 모든 새로운 가전 제품에서 "admin", "123456"및 기존 클래식 "password"와 같은 기본 암호를 금지하는 법률을 통과 시켰습니다.
라우터에서 스마트 홈 기술에 이르는 모든 새로운 가젯은 "합리적인"보안 기능을 즉시 제공해야합니다. 이 법 은 각 장치가 "각 장치마다 고유 한"미리 프로그래밍 된 암호를 요구할 것을 명시 하고 있습니다.
또한 새 장치에는 "장치에 처음 액세스하기 전에 사용자가 새로운 인증 방법을 생성해야하는 보안 기능이 포함되어 있습니다."라는 메시지가 표시되어 사용자가 고유 한 암호를 즉시 새로운 것으로 변경하도록합니다 처음으로 켜졌다.
수 년 동안 봇넷은 심하게 보안 된 연결된 장치의 힘을 이용해 엄청난 양의 인터넷 트래픽 (분산 된 서비스 거부 (DDoS) 공격)이있는 사이트를 공격했습니다. 봇넷은 일반적으로 사용자가 나중에 변경하지 않는 장치를 만들 때 장치에 하드 코드 된 기본 암호를 사용합니다. 맬웨어는 공개적으로 사용 가능한 기본 암호를 사용하여 장치에 침입하고 장치를 가로 채고 장치가 사용자의 지식없이 사이버 공격을 수행하도록합니다.
2 년 전, 악명 높은 미라이봇넷 (botnet) 은 주요 사이트에 도메인 이름 서비스를 제공하는 네트워킹 회사 인 Dyn을 타깃으로하여 수천 개의 장치를 함께 끌고갔습니다 . Dyn을 오프라인으로 두드림으로써 Twitter, Spotify 및 SoundCloud와 같이 서비스에 의존하는 다른 사이트 에도 액세스 할 수 없었습니다 .
Mirai는 기본 패스워드에 의존하는 비교적 초보적이지만 강력한 봇넷이었습니다. 이 법률은 이러한 종류의 봇넷을 방지하기위한 올바른 방향으로 나아가는 단계이지만보다 광범위한 보안 문제에 대해서는 부족합니다.
더 진보 된 다른 봇넷은 스마트 전구, 알람 및 가정용 전자 제품과 같은 Internet of Things 장치의 알려진 취약점을 악용하므로 암호를 추측 할 필요가 없습니다.
As noted by others, the law as signed does not mandate device makers to update their software when bugs are found. The big device makers, like Amazon, Apple and Google, do update their software, but many of the lesser-known brands do not.
Still, as it stands, the law is better than nothing — even if there’s room for improvement in the future.