:::
圖片說明:國際觀測

數位匯流

  • 資安
  • 消費者保護

美國加州制定物聯網安全法案

一、背景:

此一法案將自2020年1月1日生效,任何在加州生產或銷售至加州之物聯網設備將禁止使用統一的預設密碼,換言之,該等設備若要預設密碼,則必須每個設備的預設密碼均不同,或者要求設備用戶在第一次啟用時,就新增密碼,藉此提升網路安全性,防止駭客入侵。

二、法案摘要

1.定義:

  1. 授權(Authentication):指在資訊系統中,用戶、程序或設備之驗證、識別以近用資源之方式。
  2. 連結設備(Connected device):指任何可以直接或間接連接至網路之設備或其他物體,且有被分配網際網路協定或藍芽位址。
  3. 製造商(Manufacturer):指製造或與聘用他人製造之人,範圍及於在加州出售或出售至加州之物聯設備。
  4. 安全功能(Security feature):指為設備提供安全性之功能。
  5. 未經授權的近用、銷毀、修改或揭露(Unauthorized access, destruction, use, modification, or disclosure):指未經消費者授權之近用、銷毀、修改或揭露。

2.當物聯網設備具有下列對於域外網路的授權要求之一,則可被視為具有安全、合理之保護:

  1. 每個設備的預設密碼對彼此來說都是唯一(即預設密碼不可重複)
  2. 物聯網設備在用戶第一次使用時,即要求用戶做成新的驗證身分方法(即開箱使用時就必須新設密碼)

以上要求不得解釋為:

  1. 對物聯設備的製造商施加任何關於促使用戶選擇非附屬之第三方軟體或應用程式之責任。
  2. 對電子商家、通路商、市場或其他軟體及應用程式之提供者須審查或執行前開要求之責。
  3. 對物聯設備的製造商須防止用戶完全控制設備權限之責任。(即用戶得自行決定在設備上修改等)

三、評析

前開法案之通過,或許有助於密碼方面的資安提升,但若物聯網設備之用戶,本身習慣設定簡易、具有共通性等特質之密碼,則該法案的效果將會減半,蓋駭客仍可透過一定的規律性等猜測密碼;此外,由於本法案提及銷售至加州的物聯設備亦須符合相關要求,故即使非加州當地製造之物聯設備製造商,仍有適用相關規定之可能;最後,本法案特別表示非製造商之通路、電商等均不需審查或執行前開要求,故僅有物聯設備之製造商方有前開規定之適用。

0則留言

發表留言的身分:

Google 帳戶登入 帳戶登出 Facebook 帳戶登入 帳戶登出