圖片來源:http://pxhere.com/zh/photo/1457525
編譯:驕陽
這種解決物聯(lián)網(wǎng)安全挑戰(zhàn)的方法是否可以奏效?以及消費(fèi)者意識(shí)如何有助于解決問題���。
根據(jù)英國(guó)廣播公司的一篇文章,英國(guó)數(shù)字部長(zhǎng)馬戈特·詹姆斯(Margot
James)提議立法引入一種新的產(chǎn)品標(biāo)簽系統(tǒng),向消費(fèi)者展示物聯(lián)網(wǎng)產(chǎn)品的安全性�����。
為了獲得必要的標(biāo)簽�����,物聯(lián)網(wǎng)設(shè)備需要:
▲默認(rèn)情況下具有唯一密碼
▲明確說明將提供多長(zhǎng)時(shí)間的安全更新
▲提供漏洞披露的公共聯(lián)系方式
該倡議是英國(guó)申請(qǐng)成為全球在線安全領(lǐng)導(dǎo)者的一部分�,該倡議遵循加州的立法�����,該立法于2020年生效�����,并禁止在連網(wǎng)設(shè)備上使用弱密碼����。擬議中的英國(guó)法規(guī)和實(shí)際的加州立法都是朝著正確方向邁出的一步,或者至少會(huì)讓供應(yīng)商在開發(fā)物聯(lián)網(wǎng)產(chǎn)品的設(shè)計(jì)階段考慮安全性�����。但是,立法能解決問題嗎?
現(xiàn)在讓我們停下來思考一下物聯(lián)網(wǎng)設(shè)備的實(shí)際含義���。加州立法提供了以下定義:連網(wǎng)的設(shè)備“是指能夠直接或間接連接到互聯(lián)網(wǎng)并被分配了互聯(lián)網(wǎng)協(xié)議地址或藍(lán)牙地址的任何設(shè)備或其他物理對(duì)象”��。這涵蓋了各種各樣的設(shè)備��、汽車�����、燈泡�����、筆記本電腦���、恒溫器到手機(jī)等,名單是無窮無盡的�。
我桌上有一個(gè)藍(lán)牙音響,據(jù)我所知����,它沒有密碼,不收集數(shù)據(jù)��,也不傳輸任何信息。加州立法是否涵蓋這種設(shè)備?它需要唯一的密碼嗎?
同樣�����,在英國(guó)購(gòu)買特斯拉汽車的消費(fèi)者是否應(yīng)該期望在汽車上看到標(biāo)簽��,描述它符合物聯(lián)網(wǎng)的基本安全法規(guī)?還是特斯拉內(nèi)部每個(gè)可以獨(dú)立通信的設(shè)備都需要有個(gè)安全標(biāo)簽?
如此不安全
對(duì)安全性的需求是毫無疑問的�����,一些物聯(lián)網(wǎng)設(shè)備制造商(可能很多)未能采取有效措施保護(hù)其設(shè)備�,正是這種失敗促使政治家采取行動(dòng)��。在英國(guó)����,這是一項(xiàng)自愿性的行為準(zhǔn)則,而這正是現(xiàn)在向立法邁進(jìn)的一部分��。
但一般來說���,立法會(huì)扼殺創(chuàng)新�����?�?萍夹袠I(yè)已經(jīng)開始遠(yuǎn)離密碼����,微軟首席信息安全官布雷特·阿瑟諾(Bret
Arsenault)宣布,90%的微軟員工可以在沒有密碼的情況下登錄公司網(wǎng)絡(luò)����,因?yàn)楣驹O(shè)想了一個(gè)“沒有密碼的世界”。其員工正在使用其他選項(xiàng)�,包括Windows
Hello和authenticator應(yīng)用程序,這些選項(xiàng)提供面部識(shí)別��、指紋和雙因素身份驗(yàn)證等替代選項(xiàng)����。
直到明年才生效或仍在提議中的立法在完全生效之前可能就已經(jīng)過時(shí)了。它將迫使設(shè)備制造商使用一個(gè)行業(yè)正試圖淘汰的技術(shù)��,以尋求更安全的選擇�����。
英國(guó)國(guó)家網(wǎng)絡(luò)安全中心(NCSC)最近對(duì)可能被攻擊的數(shù)據(jù)進(jìn)行了分析�����,發(fā)現(xiàn)全球有2320萬用戶帳戶使用“123456”進(jìn)行安全保護(hù)��,770萬用戶使用“123456789”作為密碼��。這些數(shù)據(jù)表明�����,消費(fèi)者沒有參與保護(hù)他們的在線賬戶�����,這種自滿為網(wǎng)絡(luò)犯罪分子提供了大好機(jī)會(huì)�����。
我最近在美國(guó)和阿根廷的網(wǎng)絡(luò)安全活動(dòng)上介紹了在將任何設(shè)備連接到網(wǎng)絡(luò)時(shí),需要考慮安全性����,特別是在智能建筑中。我向觀眾提出一個(gè)問題:“您們上次在車上更新信息娛樂系統(tǒng)是什么時(shí)候?”——在兩個(gè)地方都有相同的結(jié)果�����。觀眾看起來很困惑,他們是網(wǎng)絡(luò)安全專家���,但是他們通過藍(lán)牙將個(gè)人手機(jī)連接到他們永遠(yuǎn)不會(huì)更新的系統(tǒng)��。有趣的是��,第二天一位與會(huì)者與我聯(lián)系并表示�����,盡管它已經(jīng)過時(shí)�����,但他和經(jīng)銷商都無法更新他的信息娛樂系統(tǒng)�����。
快進(jìn)幾年��,您就可以看到全新的物聯(lián)網(wǎng)設(shè)備�����,它的產(chǎn)品標(biāo)簽顯示它有一個(gè)唯一的密碼����,而且五年內(nèi)都會(huì)有更新。第一次使用時(shí)�����,為了簡(jiǎn)單起見���,您將密碼設(shè)置為與家中設(shè)備上的所有其他密碼相同��,您可以插入設(shè)備并享受它所帶來的任何功能的便利性�����。當(dāng)制造商向您發(fā)送有關(guān)固件更新的電子郵件通知時(shí)��,假設(shè)您已注冊(cè)了該設(shè)備�����,您會(huì)在設(shè)備工作時(shí)將其刪除,并抱怨為什么要更新工作正常的設(shè)備���。
雖然立法推動(dòng)工業(yè)界提高設(shè)備的安全性�����,但消費(fèi)者的教育和參與可能會(huì)讓他們?cè)诩抑懈影踩?����。不知您是否也能為此立?
