Οι επαγγελματίες της ασφάλειας μας λένε εδώ και χρόνια να αλλάζουμε τους προεπιλεγμένους κωδικούς πρόσβασης στις έξυπνες οικιακές συσκευές που συνδέονται στο διαδίκτυο, αλλά το Ηνωμένο Βασίλειο προχωρά ένα βήμα παραπέρα και επιβάλλει την πάταξη της χρήσης αδύναμων κωδικών πρόσβασης στις συσκευές IoT.
Ο νόμος περί ασφάλειας προϊόντων και τηλεπικοινωνιών (PSTIA) τέθηκε σε ισχύ την περασμένη εβδομάδα και απαγορεύει στους κατασκευαστές να αποστέλλουν προϊόντα με απλούς κωδικούς πρόσβασης. Στους περισσότερους δρομολογητές, για παράδειγμα, το όνομα χρήστη είναι "admin" και ο κωδικός πρόσβασης είναι "admin" ή "password", γεγονός που μπορεί να αφήσει πλήθος συσκευών ευάλωτες σε χάκερ.
Με αυτή τη νομοθεσία, ο κατασκευαστής συσκευών πρέπει είτε να καταργήσει τους εύκολα μαντεύσιμους, προεπιλεγμένους κωδικούς πρόσβασης είτε να απαιτεί από τον χρήστη να δημιουργήσει έναν κωδικό πρόσβασης κατά την εγκατάσταση. Θεωρητικά, αυτοί οι γνωστοί προεπιλεγμένοι κωδικοί πρόσβασης δεν θα παρέχουν πλέον πρόσβαση σε μια συσκευή.
Το πρόβλημα, σύμφωνα με τη βρετανική μη κερδοσκοπική οργάνωση καταναλωτών Which?, είναι ότι η νομοθεσία δεν απαιτεί από τους ανθρώπους που εγκαθιστούν τις συσκευές IoT να χρησιμοποιούν ισχυρό κωδικό πρόσβασης.
"Κατά την άποψή μας, μια τέτοια προσέγγιση ουσιαστικά επιτρέπει στον κατασκευαστή να μεταβιβάσει την ευθύνη για την καλή ασφάλεια στον χρήστη", αναφέρει εκπρόσωπος της Which?, ο οποίος παραδέχθηκε ότι "ο νόμος κάνει ένα βήμα προς την κατεύθυνση της αντιμετώπισης του ζητήματος των προεπιλεγμένων κωδικών πρόσβασης, και αυτό πρέπει να επικροτηθεί".
Εκπρόσωπος του Υπουργείου Επιστήμης, Καινοτομίας και Τεχνολογίας του Ηνωμένου Βασιλείου δήλωσε επίσης ότι "δεν επιβάλλουμε κωδικούς πρόσβασης ούτε επιβάλλουμε στους χρήστες να προβούν σε νέες ενέργειες".
Ο PSTIA απαιτεί επίσης από τους κατασκευαστές να δημοσιεύουν πληροφορίες σχετικά με τον τρόπο με τον οποίο οι χρήστες μπορούν να αναφέρουν απειλές για την ασφάλεια, μαζί με αποδείξεις που δείχνουν ότι η αναφορά ελήφθη και αντιμετωπίστηκε. Οι εταιρείες πρέπει επίσης να δημοσιεύουν πληροφορίες σχετικά με το χρονικό διάστημα για το οποίο ένα προϊόν θα λαμβάνει ενημερώσεις ασφαλείας με "προσβάσιμο και διαφανή τρόπο". Η μη συμμόρφωση μπορεί να οδηγήσει σε ανάκληση ή πρόστιμα για τους κατασκευαστές συσκευών.
Τελικά, ο νόμος επιδιώκει να αποτρέψει περιστατικά όπως η επίθεση DDoS του botnet Mirai το 2016, η οποία χρησιμοποίησε έναν κατάλογο 62 κοινών προεπιλεγμένων ονομάτων χρήστη και κωδικών πρόσβασης για να ανιχνεύσει ευάλωτες συσκευές και παγίδευσε σχεδόν 300.000 συσκευές.