Megelégelte Kalifornia állam törvényhozása, hogy egyre nagyobb biztonsági problémát okoznak a netre kapcsolódó eszközök -- routerek, okosotthon és egyéb IoT-eszközök stb. – alapértelmezett jelszavai. A készülékek ugyanis sokszor admin felhasználónévvel és password jelszóval kerülnek ki a gyártóüzemekből, és sok helyen úgy is maradnak.

Egy eszköz – egy jelszó

Kalifornia ezért most olyan szabályozást vezetett be, amely más államok számára is példaértékű lehet. Az ottani adatvédelmi törvény kiegészítéseként elfogadott Information privacy: connected devices című szöveg szerint Kalifornia állam 2020-tól arra kötelezi a gyártókat, hogy minden Kaliforniában gyártott vagy ott kereskedelmi forgalom kerülő connected, azaz online kapcsolatra képes eszközt már gyárilag is csak egyedi jelszóval lehet forgalomba hozni. Ez minden olyan eszközre vonatkozik, amelynek van saját IP-címe, a netre tud kapcsolódni (akár közvetetten is), vagy képes Bluetooth kapcsolatra.

A törvény valószínűleg nem állítja megoldhatatlan feladat elé a gyártókat és a forgalmazókat. Persze az is valószínűsíthető, hogy a gyártási folyamatokat, főleg a tesztelési fázist némileg megbolygatja majd.

A törvény a gyári egyedi jelszó mellett még egy biztonsági elemet kötelezővé tesz: a gyártóknak biztosítaniuk kell azt is, hogy a felhasználó még a használatba vétel előtt módosíthassa a bejelentkezéshez szükséges felhasználónevet és a jelszót.

Nem ez fogja forradalmasítani a biztonságot

A törvény azzal együtt sem forradalmasítja a biztonságot, hogy a védelem több aspektusára is kitér (a készülék által gyűjtött/továbbított információk védelme, illetéktelen hozzáférés, használat, módosítás vagy megsemmisítés elleni védelem stb.). De az mindenképpen előrelépés, hogy az online kapcsolatra képes eszközökhöz való illetéktelen hozzáférés még egy akadályba ütközik.

Szinte borítékolható, hogy a törvény hatályba lépése után az online feketepiacon jó pénzért cserélnek gazdát majd azok az adatbázisok, melyek egy-egy eszközszéria gyártási sorozatszám – jelszó párosait tartalmazzák.

Bár nem becsülnénk le a kaliforniai honatyák jobbító hevületét, érdemes megjegyezni, hogy a törvény a biztonság kérdésében a gyártók-forgalmazók felelősségére koncentrál. Ezzel azonban kimondatlanul is azt sugallja, hogy a felhasználónak semmi dolga, miközben a valóság az, hogy nagyon is lenne. Az egyedi gyári jelszó ugyanis egyáltalán nem garancia a biztonságra, azt ugyanúgy módosítani kellene egy kellően erős jelszóra az első használatba vétel előtt, mint a 'password' típusúakat.

Ez a cikk független szerkesztőségi tartalom, mely a T-Systems Magyarország támogatásával készült. Részletek »