法律禁止默认密码 “admin”,“无意入侵”没那么容易

2018-10-09 09:44:43 35 2201

据外媒报导,近期加州通过了一项法律,2020 年之后禁止在所有新的消费电子产品中使用 “admin”、“123456” 和经典的 “password” 这样的默认密码。

据 techcrunch 报导,前几日,加州通过了一项法律,2020 年之后禁止在所有新的消费电子产品中使用 “admin”、“123456” 和经典的 “password” 这样的默认密码。

从路由器到智能家居技术在该州建造的每个新设备都必须具有开箱即用的“合理”安全功能,法律特别要求每个设备都带有“每个设备独有的”预编程密码。它还要求任何新设备“包含一个安全功能,要求用户在首次授予设备访问权限之前生成新的身份验证方法”,在第一次打开是强制用户将其唯一密码更改为新的密码。

弱密码问题一直是黑客进行攻击利用的有效且低成本手段,多年来,僵尸网络利用了安全性较差的连接设备的强大功能,在网站上拥有大量的互联网流量,也就是所谓的分布式拒绝服务(DDoS)攻击。僵尸网络通常依赖于默认密码,这些密码在构建时被硬编码到设备中,用户以后不会对其进行更改。

恶意软件使用公开的默认密码侵入设备,劫持设备并诱使设备在用户不知情的情况下进行网络攻击。两年前,臭名昭着的 Mirai 僵尸网络将成千上万的设备拖到了目标 Dyn,这是一家为主要网站提供域名服务的网络公司。通过使 Dyn 无法正常解析域名,导致其它依赖其服务的网站也无法访问,造成在大面积的网络瘫痪。简单的 Mirai 能够造成大损失的很大原因就在于利用了设备默认的简单密码。

虽然新法可以防止这类僵尸网络,但却无法解决更广泛的安全问题,比如有些攻击是不需要猜测密码的,另一方面,该法律并未要求设备制造商在发现错误时更新其软件,像亚马逊、苹果和谷歌这样的大型设备制造商确实会更新他们的软件,但更多鲜为人知的品牌却不会这样做。

关于作者

评论35次

要评论?请先  登录  或  注册
  • 35楼
    昨天 10:34

    人的懒惰在这,没了admin还有admin123

  • 34楼
    前天 16:14

    站长默认用户密码

  • 33楼
    6 天前 14:48

    依旧保留着admin这类的,回头你会发现还是这些老的有用,意识与形式永远不同步

  • 32楼
    2018-11-24 13:27

    还有 admin123/qwe/这种的,弱口令很多的,禁这个还会出现新的

  • 31楼
    2018-11-23 08:44

    表示自己有时候都记不完密码

  • 30楼
    2018-11-21 15:54

    从法律上开始禁止弱口令等问题,也不失为一种新的解决方案啊。国内有些路由器厂商的初始密码已经是随机 非admin 弱口令了

  • 29楼
    2018-11-21 15:37

    制定一个规则 再慢慢适应就好了

  • 28楼
    2018-11-21 15:32

    弱口令是风险最高的漏洞了

  • 27楼
    2018-11-21 15:04

    不知道啥时候到中国实行这个法律

  • 26楼
    2018-11-19 18:27

    不让你用但是就真的能禁止吗

  • 25楼
    2018-11-15 11:53

    厉害了 admin都不给用了

  • 24楼
    2018-11-14 19:47

    避免不了的,会有默认用户

  • 23楼
    2018-11-12 21:36

    以后这种老套的方法不能用了。挖掘个二进制的溢出命令执行,秒杀的机会还是有的。

  • 22楼
    2018-11-6 18:33

    没有admin,还有会root ,admiN等等

  • 21楼
    2018-11-5 22:25

    如果首次登陆强制更改密码是好的,如果管理员比较懒,恶意用户登陆后,强制修改密码后就不太合适

  • 20楼
    2018-11-4 15:56

    还是得看厂商,怎么想,靠法律没啥用。安全意识不高,再牛的密码又能咋办

  • 19楼
    2018-11-4 15:45

    关键还是用户要有使用的好习惯,用弱密码的人并不是不知道密码简单不好,而是很多时候,在不那么重要,甚至太重要的设备上使用复杂的密码,结局就是忘掉了密码。

  • 18楼
    2018-11-2 14:33

    过度提安全意识也不是根本之道,也就是搞培训的厂商喜欢造势,懒是天性,人愿意为了安全买一个很贵的密码锁,保险柜,但是没见几个普通人会一丝不苟的执行安全规范去保护财产安全。

  • 17楼
    2018-11-2 14:28

    弱密码不只是因为密码强度,而是因为用的人够多,你禁用admin,admin123,admin666,只要用的人够多就是弱口令,禁的完吗?一味的要求加强密码强度就跟12306验证码一样,降低普通用户的体验,只能增加双因素认证,多因素认证来加强认证。

  • 16楼
    2018-10-12 21:57

    这个不是弱密码的问题