加州法律禁止設定：“admin”，“123456”等預設密碼

作者：OSC-h4cd

來自：開源中國（oschina2013）

法律禁止預設密碼“admin”，“無意入侵”沒那麼容易了

據 techcrunch 報導，前幾日，加州透過了一項法律，2020 年之後禁止在所有新的消費電子產品中使用“admin”、“123456”和經典的“password”這樣的預設密碼。

從路由器到智慧家居技術在該州建造的每個新裝置都必須具有開箱即用的“合理”安全功能，法律特別要求每個裝置都帶有“每個裝置獨有的”預程式設計密碼。它還要求任何新裝置“包含一個安全功能，要求使用者在首次授予裝置訪問許可權之前生成新的身份驗證方法”，在第一次開啟時強制使用者將其唯一密碼更改為新的密碼。

弱密碼問題一直是駭客進行攻擊利用的有效且低成本手段，多年來，僵屍網路利用了安全性較差的連線裝置的強大功能，在網站上擁有大量的網際網路流量，也就是所謂的分散式拒絕服務（DDoS）攻擊。僵屍網路通常依賴於預設密碼，這些密碼在構建時被硬編碼到裝置中，使用者以後不會對其進行更改。

惡意軟體使用公開的預設密碼侵入裝置，劫持裝置並誘使裝置在使用者不知情的情況下進行網路攻擊。兩年前，臭名昭著的 Mirai 僵屍網路將成千上萬的裝置拖到了標的 Dyn，這是一家為主要網站提供域名服務的網路公司。透過使 Dyn 無法正常解析域名，導致其它依賴其服務的網站也無法訪問，造成在大面積的網路癱瘓。簡單的 Mirai 能夠造成大損失的很大原因就在於利用了裝置預設的簡單密碼。

雖然新法可以防止這類僵屍網路，但卻無法解決更廣泛的安全問題，比如有些攻擊是不需要猜測密碼的，另一方面，該法律並未要求裝置製造商在發現錯誤時更新其軟體，像亞馬遜、蘋果和谷歌這樣的大型裝置製造商確實會更新他們的軟體，但更多鮮為人知的品牌卻不會這樣做。

然而這畢竟是在為保證網路安全邁出的一小步，也許可以避免“騰訊員工因對酒店 Wi-Fi 伺服器是否存在漏洞產生好奇並選擇黑入，結果成功被捕”這樣的事。你覺得怎麼樣？