米カリフォルニア州、ネット接続機器の「デフォルトパスワード」を規制する法律 21
ストーリー by hylom
ランダムパスワードが妥当かな 部門より
ランダムパスワードが妥当かな 部門より
taraiok曰く、
米カリフォルニア州の議員が、ネットもしくはBluetoothで接続可能な機器をハッカーから保護する法案を提出した。州知事が署名した場合、2020年1月1日から施行される。MIT Technology Reviewによると、法案の内容はメーカーはすべての機器に対し1台1台異なるデフォルトパスワードを用意するか、ユーザーが最初に機器を利用するときに、デフォルトパスワードを強制的に変更させる仕組みを求めるものだそうだ(Engadget、MIT Technology Review、Slashdot)。
現在の連邦法や州法には、IoT製品を通じて収集された消費者データをどのように処理するかを規定する内容は用意されているものの、IoTのセキュリティに焦点を当てた法律はなかったとしている。ただ、この法案全体の文言に曖昧なところが多く、対象となる範囲が不明瞭だという指摘もあるようだ。
Bluetoothで接続可能な機器 (スコア:1)
マウスなんかも全部default passwordを変えるのか
サポートが死ぬ未来が見えるような気がしない事もない
Re:Bluetoothで接続可能な機器 (スコア:1)
マウスみたいにパスワード設定機能が存在しない機器はどうなるんでしょうね?
ワンタイムパスワードで毎回登録し直しってのは勘弁してほしいけど、
最初ペアリングした時にオリジナルパスワード設定出来て以後そのまま使用可能?
サポートのためにリセットボタンが必要になるかな?
ψアレゲな事を真面目にやることこそアレゲだと思う。
Re: (スコア:0)
bluetooth 機器は関係ないでしょ。
あれ、パスワードみたいな認証キーでもなんでもなくて、ペアリングしようとしている相手かどうかっていう識別子でしかない。
最近は片方が送ってきて、一方が OK/NGの確認だけで済ませることが多いけど、昔は両方のデバイスで手入力して、それが一致することを確認するようなものだったんだし。
Re: (スコア:0)
あ、ペアリングキーも文句言ってるのか、乱数でも表示しときゃいいんじゃないかね。
Re: (スコア:0)
マウス(ネット接続機器)
デフォルトでいいよ (スコア:0)
ランダムなパスワードをデフォルトで設定しておけばいいよ。
問題なのは同じパスワードを使いまわしてたり、パスワード=シリアル番号だったりで推測しやすい点なんだからさ。
#セキュリティ名目で使い勝手悪くするケース多すぎ。いい加減にしてもらいたい
Re:デフォルトでいいよ (スコア:1)
使用者が最初にパスワード設定しなきゃならないくらい良いのでは?
付属の説明書に書き込む欄を用意しておいて。
デフォルトで設定されてるとそれを覚えられずに大変なことになりそう。
ψアレゲな事を真面目にやることこそアレゲだと思う。
Re: (スコア:0)
デフォルトでランダムに設定されていたって変更すりゃいいじゃん?
Re: (スコア:0)
で、任意に変更しようとするときは、どうやってログインするのですか?
Re: (スコア:0)
デフォルトでランダムに設定されていたって変更すりゃいいじゃん?
いいや俺がデフォルメガンダムだ!
Re: (スコア:0)
https://security.srad.jp/story/17/12/23/0455236/ [security.srad.jp]
設定させたらさせたでこうなるのでは。。。
Re: (スコア:0)
リテラシー低い人は自分で設定したパスワードすら忘れますからね・・・
昔携帯屋でバイトしていた時、Googleアカウント、AppleID、スマホのパスワードなどが判らなくなり
「解除して」って持って来る人が多かったです、出来ない事を伝えると「おまえが売ったものだろう」とセットでしたが
ランダムで設定されたデフォルトパスワードを今と同じで機器に貼付でいいんじゃなかろうかと
ソーシャルハッキングは防げないにしても、外部から侵入されるリスクは低いわけで
Re: (スコア:0)
ランダムな初期パスワードの紙をなくしたら、設定初期化=使えない機器になりますね
#買い替え需要でメーカーはウハウハだったりして
Re: (スコア:0)
解決策としては、WiFiルーターの初期WPAキーみたいに本体に貼り付けておくとか?
Re: (スコア:0)
普通はその「ランダムな初期パスワード」は機器の背面に貼られているものだ。無くすときは、その機器ごと無くす時だ。
で、初回起動時に必ずユーザーによるパスワード変更が必要なようにして、ユーザーがパスワードを忘れた場合は、
ハードウェア的なファクトリーリセットボタンを押して、初期パスワードに戻すようになっていれば、
パスワード忘れで買い替えさせられるようになることもあるまい。
Re:デフォルトでいいよ (スコア:1)
今でもだいたいそうなってるよね。
ウハウハとか言ってる人って、Wifiルーターとか買ったことない人なのかな。
ちなみに「ランダム」だけだとバグでひたすら同じIDが降られても「それは仕様です」と言い逃れする場合も
考えられるから、法律上は「1台1台異なる」であることを義務づける必用はあるんだと思う。
「スポーツくじ「BIG」でランダムなはずの予測結果が2連続で一致するも「偶然」との回答」 https://it.srad.jp/story/17/02/20/1619238/ [it.srad.jp]
Re: (スコア:0)
「機器の背面に貼られ」たシール等が剥がれたりして読めなくなることは良くあることですが。
Re: (スコア:0)
そこは物理的にその機器に接触可能なら使えるリセット手段をつけておけば
一家に一本?USB-RS232Cケーブル
代わりに (スコア:0)
デフォルメパスワードを
Re: (スコア:0)
デフォルメパスワードを
そしてそいつがデタラメバズワードに
サーバ管理ツールのパスワード (スコア:0)
みたいに、本体のラベルにデフォルトパスワードを記載すればかなりの問題は解消するんじゃないかと。
多数のサーバをセットアップする時はいろいろ面倒ではあるのだけど。